A Ivanti finalmente começou a corrigir duas vulnerabilidades de segurança de dia zero divulgadas em 10 de janeiro em seus dispositivos Connect Secure VPN. No entanto, também anunciou hoje dois bugs adicionais na plataforma, CVE-2024-21888 e CVE-2024-21893 – o último dos quais também está sob exploração ativa na natureza.
Ivanti lançou sua primeira rodada de patches para o conjunto original de dias zero (CVE-2024-21887 e CVE-2023-46805) mas apenas para algumas versões; correções adicionais serão implementadas em um cronograma escalonado nas próximas semanas, disse a empresa em seu comunicado atualizado hoje. Enquanto isso, a Ivanti forneceu uma mitigação que as organizações sem correção devem aplicar imediatamente para evitar serem vítimas de exploração em massa por atores patrocinados pelo Estado chinês e cibercriminosos com motivação financeira.
Vários malwares personalizados ancoram ataques de roubo de dados
Êxtase a exploração continua inabalável. De acordo com a Mandiant, uma ameaça persistente avançada (APT) apoiada pela China, chamada UNC5221, está por trás de inúmeras explorações desde o início de dezembro. Mas a actividade em geral aumentou consideravelmente desde que o CVE-2024-21888 e o CVE-2024-21893 foram tornados públicos no início de Janeiro.
“Além do UNC5221, reconhecemos a possibilidade de que um ou mais grupos relacionados possam estar associados à atividade”, disseram os pesquisadores da Mandiant em uma análise de ataque cibernético da Ivanti lançado hoje. “É provável que grupos adicionais além da UNC5221 tenham adotado uma ou mais [das] ferramentas [associadas aos compromissos].”
Nesse ponto, a Mandiant divulgou informações adicionais sobre os tipos de malware que o UNC5221 e outros atores estão usando nos ataques às VPNs seguras do Ivanti Connect. Até agora, os implantes observados na natureza incluem:
-
Uma variante do LightWire Web Shell que se insere em um componente legítimo do gateway VPN, agora apresentando uma rotina de ofuscação diferente.
-
Dois shells da Web personalizados UNC5221, chamados “ChainLine” e “FrameSting”, que são backdoors incorporados em pacotes Ivanti Connect Secure Python que permitem a execução arbitrária de comandos.
-
ZipLine, um backdoor passivo usado pelo UNC5221 que usa um protocolo criptografado personalizado para estabelecer comunicações com comando e controle (C2). Suas funções incluem upload e download de arquivos, shell reverso, servidor proxy e servidor de tunelamento.
-
Novas variantes do malware de roubo de credenciais WarpWire, que rouba senhas e nomes de usuário em texto simples para exfiltração em um servidor C2 codificado. A Mandiant não atribui todas as variantes ao UNC5221.
-
E diversas ferramentas de código aberto para apoiar atividades pós-exploração, como reconhecimento de rede interna, movimentação lateral e exfiltração de dados dentro de um número limitado de ambientes de vítimas.
“Os atores do estado-nação UNC5221 visaram e exploraram com sucesso vulnerabilidades na Ivanti para roubar dados de configuração, modificar arquivos existentes, baixar arquivos remotos e reverter o túnel dentro das redes”, diz Ken Dunham, diretor de ameaças cibernéticas da Unidade de Pesquisa de Ameaças Qualys, que alerta Os usuários da Ivanti devem estar atentos a ataques à cadeia de suprimentos contra seus clientes, parceiros e fornecedores. “O Ivanti provavelmente é o alvo devido [à] funcionalidade e arquitetura que fornece aos atores, se comprometido, como uma solução de rede e VPN, em redes e alvos downstream de interesse.”
Além dessas ferramentas, os pesquisadores da Mandiant sinalizaram atividades que usam um desvio para a técnica inicial de mitigação provisória da Ivanti, detalhada no comunicado original; nesses ataques, ciberataques desconhecidos estão implantando um web shell de espionagem cibernética personalizado chamado “Bushwalk”, que pode ler ou gravar arquivos em um servidor.
“A actividade é altamente direccionada, limitada e é distinta da actividade de exploração em massa pós-aconselhamento”, de acordo com os investigadores, que também forneceram extensos indicadores de compromisso (IoCs) para os defensores, e regras YARA.
Ivanti e CISA divulgaram orientações atualizadas de mitigação ontem que as organizações deveriam se inscrever.
Dois novos bugs de dia zero de alta gravidade
Além de lançar patches para bugs de três semanas, a Ivanti também adicionou correções para dois novos CVEs ao mesmo comunicado. Eles são:
-
CVE-2024-21888 (pontuação CVSS: 8.8): Uma vulnerabilidade de escalonamento de privilégios no componente Web do Ivanti Connect Secure e do Ivanti Policy Secure, permitindo que invasores cibernéticos obtenham privilégios de administrador.
-
CVE-2024-21893 (pontuação CVSS: 8.2): Uma vulnerabilidade de falsificação de solicitação do lado do servidor no componente SAML do Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons for ZTA, permitindo que invasores cibernéticos acessem “determinados recursos restritos sem autenticação”.
Apenas explorações para este último circularam na natureza, e a atividade “parece ser direcionada”, de acordo com a assessoria da Ivanti, mas acrescentou que as organizações deveriam “esperar um aumento acentuado na exploração quando esta informação for pública – semelhante ao que observamos em 11 de janeiro após a divulgação de 10 de janeiro.”
Dunham, da Qualys TRU, diz esperar ataques de mais do que apenas APTs: “Vários atores estão aproveitando as oportunidades de exploração de vulnerabilidades antes das organizações corrigirem e se fortalecerem contra ataques. Ivanti é transformado em arma por atores do estado-nação e agora provavelmente por outros - deve ter sua atenção e prioridade ao patch, se você estiver usando versões vulneráveis em produção.”
Os investigadores alertam também que o resultado de um compromisso pode ser perigoso para as organizações.
“Essas [novas] falhas de alta segurança da Ivanti são sérias [e particularmente valiosas para os invasores] e devem ser corrigidas imediatamente”, disse Patrick Tiquet, vice-presidente de segurança e arquitetura da Keeper Security. “Essas vulnerabilidades, se exploradas, podem conceder acesso não autorizado a sistemas confidenciais e comprometer uma rede inteira.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :tem
- :é
- :não
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- Acesso
- Segundo
- reconhecer
- ativo
- atividades
- atividade
- atores
- adicionado
- Adição
- Adicional
- Informação adicional
- adotado
- avançado
- Ameaça persistente avançada
- Vantagem
- consultivo
- contra
- muito parecido
- Todos os Produtos
- Permitindo
- tb
- an
- Apresentadora
- e
- anunciou
- aparece
- aparelhos
- Aplicar
- APT
- arbitrário
- arquitetura
- SOMOS
- AS
- associado
- At
- ataque
- Ataques
- por WhatsApp.
- Autenticação
- evitar
- em caminho duplo
- Porta dos fundos
- Backdoors
- BE
- sido
- começou
- atrás
- Pós
- erros
- mas a
- by
- ignorar
- chamado
- chamadas
- CAN
- certo
- cadeia
- chinês
- Círculo
- CISA
- vinda
- próximas semanas
- Comunicações
- Empresa
- componente
- compromisso
- Comprometido
- Configuração
- Contato
- continua
- personalizadas
- Clientes
- Ataque cibernético
- cibercriminosos
- Perigoso
- dados,
- Dezembro
- Defensores
- Implantação
- detalhado
- diferente
- Diretor
- divulgação
- distinto
- parece
- download
- dois
- Mais cedo
- Cedo
- incorporado
- permitir
- criptografada
- Todo
- ambientes
- escalada
- estabelecer
- Éter (ETH)
- execução
- exfiltração
- existente
- esperar
- exploração
- exploradas
- façanhas
- extenso
- Queda
- longe
- Apresentando
- Envie o
- Arquivos
- Finalmente
- financeiramente
- Primeiro nome
- fixo
- marcado
- falhas
- seguinte
- Escolha
- frenesi
- recentes
- da
- Combustível
- funcionalidade
- funções
- Ganho
- porta de entrada
- Geral
- vai
- conceder
- Do grupo
- Ter
- altamente
- Contudo
- HTTPS
- ÍCONE
- if
- imediatamente
- in
- incluir
- Crescimento
- indicadores
- INFORMAÇÕES
- do estado inicial,
- Inserções
- interesse
- interno
- para dentro
- Emitido
- IT
- ESTÁ
- se
- Ivanta
- Jan
- janeiro
- jpg
- apenas por
- legítimo
- como
- Provável
- Limitado
- moldadas
- malwares
- Massa
- Posso..
- enquanto isso
- mitigação
- modificar
- mais
- motivados
- movimento
- múltiplo
- rede
- networking
- redes
- Neurônios
- Novo
- agora
- número
- observado
- of
- on
- uma vez
- ONE
- só
- aberto
- open source
- oportunidades
- or
- organizações
- original
- Outros
- Outros
- Fora
- pacotes
- par
- particularmente
- Parceiros
- passiva
- senhas
- Remendo
- Patches
- Patching
- patrick
- Texto simples
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- Privacidade
- possibilidade
- presidente
- Prévio
- prioridade
- privilégio
- privilégios
- Produção
- protocolo
- fornecido
- fornece
- procuração
- público
- Python
- RE
- Leia
- relacionado
- liberado
- remoto
- solicitar
- pesquisa
- pesquisadores
- Recursos
- restringido
- resultar
- reverso
- Rolo
- rolando
- volta
- rotina
- regras
- s
- Dito
- mesmo
- diz
- cronograma
- Ponto
- seguro
- segurança
- sensível
- grave
- servidor
- conjunto
- afiado
- concha
- rede de apoio social
- semelhante
- desde
- So
- até aqui
- solução
- alguns
- fonte
- rouba
- entraram com sucesso
- fornecedores
- supply
- cadeia de suprimentos
- ajuda
- sistemas
- tomar
- visadas
- tem como alvo
- técnica
- do que
- que
- A
- roubo
- deles
- Este
- deles
- isto
- ameaça
- para
- hoje
- ferramentas
- TRU
- túnel
- dois
- tipos
- não autorizado
- para
- unidade
- desconhecido
- Atualizada
- usava
- usuários
- usos
- utilização
- Valioso
- Variante
- versões
- vício
- Vice-Presidente
- Vítima
- VPN
- VPNs
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- Avisa
- we
- web
- semanas
- foram
- O Quê
- qual
- QUEM
- Selvagem
- precisarão
- de
- dentro
- sem
- escrever
- ontem
- Você
- investimentos
- zefirnet
