Mais frenesi de ataque de combustível de dia zero da Ivanti VPN à medida que os patches finalmente são lançados

A Ivanti finalmente começou a corrigir duas vulnerabilidades de segurança de dia zero divulgadas em 10 de janeiro em seus dispositivos Connect Secure VPN. No entanto, também anunciou hoje dois bugs adicionais na plataforma, CVE-2024-21888 e CVE-2024-21893 – o último dos quais também está sob exploração ativa na natureza.

Ivanti lançou sua primeira rodada de patches para o conjunto original de dias zero (CVE-2024-21887 e CVE-2023-46805) mas apenas para algumas versões; correções adicionais serão implementadas em um cronograma escalonado nas próximas semanas, disse a empresa em seu comunicado atualizado hoje. Enquanto isso, a Ivanti forneceu uma mitigação que as organizações sem correção devem aplicar imediatamente para evitar serem vítimas de exploração em massa por atores patrocinados pelo Estado chinês e cibercriminosos com motivação financeira.

Vários malwares personalizados ancoram ataques de roubo de dados

Êxtase a exploração continua inabalável. De acordo com a Mandiant, uma ameaça persistente avançada (APT) apoiada pela China, chamada UNC5221, está por trás de inúmeras explorações desde o início de dezembro. Mas a actividade em geral aumentou consideravelmente desde que o CVE-2024-21888 e o CVE-2024-21893 foram tornados públicos no início de Janeiro.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in uma análise de ataque cibernético da Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

Nesse ponto, a Mandiant divulgou informações adicionais sobre os tipos de malware que o UNC5221 e outros atores estão usando nos ataques às VPNs seguras do Ivanti Connect. Até agora, os implantes observados na natureza incluem:

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti e CISA divulgaram orientações atualizadas de mitigação ontem que as organizações deveriam se inscrever.

Dois novos bugs de dia zero de alta gravidade

Além de lançar patches para bugs de três semanas, a Ivanti também adicionou correções para dois novos CVEs ao mesmo comunicado. Eles são:

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

Os investigadores alertam também que o resultado de um compromisso pode ser perigoso para as organizações.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling