Ivanti a început în sfârșit să corecteze o pereche de vulnerabilități de securitate zero-day dezvăluite pe 10 ianuarie în dispozitivele sale Connect Secure VPN. Cu toate acestea, a anunțat, de asemenea, două erori suplimentare astăzi în platformă, CVE-2024-21888 și CVE-2024-21893 - acesta din urmă este, de asemenea, în exploatare activă în sălbăticie.
Ivanti a lansat prima rundă de patch-uri pentru setul original de zero-zile (CVE-2024-21887 și CVE-2023-46805) dar numai pentru unele versiuni; remedieri suplimentare vor fi lansate pe un program eșalonat în următoarele săptămâni, a spus compania în avizul său actualizat de astăzi. Între timp, Ivanti a oferit o atenuare pe care organizațiile nepatchate ar trebui să o aplice imediat pentru a evita să cadă victima exploatarea în masă de către actori chinezi sponsorizați de stat și infractorii cibernetici motivați financiar deopotrivă.
Mai multe programe malware personalizate ancorează atacuri de furt de date
Că exploatarea continuă fără încetare. Potrivit lui Mandiant, o amenințare persistentă avansată (APT) susținută de China pe care o numește UNC5221 a stat în spatele a numeroase exploatări de la începutul lunii decembrie. Dar activitatea, în general, a crescut considerabil de când CVE-2024-21888 și CVE-2024-21893 au fost făcute publice la începutul lunii ianuarie.
„În plus față de UNC5221, recunoaștem posibilitatea ca unul sau mai multe grupuri înrudite să fie asociate cu activitatea”, au spus cercetătorii Mandiant în o analiză a atacurilor cibernetice Ivanti lansat azi. „Este probabil ca grupuri suplimentare dincolo de UNC5221 să fi adoptat unul sau mai multe instrumente [asociate cu compromisurile]”.
Până în acel moment, Mandiant a emis informații suplimentare despre tipurile de malware pe care UNC5221 și alți actori le folosesc în atacurile asupra VPN-urilor Ivanti Connect Secure. Până acum, implanturile pe care le-au observat în sălbăticie includ:
-
O variantă a shell-ului Web LightWire care se inserează într-o componentă legitimă a gateway-ului VPN, prezentând acum o rutină de ofuscare diferită.
-
Două shell-uri web personalizate UNC5221, numite „ChainLine” și „FrameSting”, care sunt uși din spate încorporate în pachetele Ivanti Connect Secure Python care permit executarea comenzilor arbitrare.
-
ZipLine, un backdoor pasiv folosit de UNC5221 care utilizează un protocol personalizat, criptat pentru a stabili comunicații cu comandă și control (C2). Funcțiile sale includ încărcare și descărcare de fișiere, reverse shell, server proxy și un server de tunel.
-
Noi variante ale malware-ului WarpWire pentru furtul de acreditări, care fură parole și nume de utilizator în text simplu pentru a fi filtrate pe un server C2 codificat. Mandiant nu atribuie toate variantele lui UNC5221.
-
Și mai multe instrumente open source pentru a sprijini activitățile post-exploatare, cum ar fi recunoașterea rețelei interne, mișcarea laterală și exfiltrarea datelor într-un număr limitat de medii de victimă.
„Actorii statelor naționale UNC5221 au vizat și exploatat cu succes vulnerabilitățile din Ivanti pentru a fura date de configurare, a modifica fișierele existente, a descărca fișiere de la distanță și a inversa tunelul în rețele”, spune Ken Dunham, director pentru amenințări cibernetice la Qualys Threat Research Unit, care avertizează Utilizatorii Ivanti trebuie să fie atenți la atacurile lanțului de aprovizionare asupra clienților, partenerilor și furnizorilor lor. „Ivanti este probabil vizat din cauza funcționalității și arhitecturii pe care le oferă actorilor, dacă este compromis, ca soluție de rețea și VPN, în rețele și ținte de interes din aval.”
În plus față de aceste instrumente, cercetătorii Mandiant au semnalat activitate care folosește un bypass pentru tehnica inițială de atenuare a stopgap-ului lui Ivanti, detaliată în avizul original; în aceste atacuri, atacatorii cibernetici necunoscuți implementează un shell web personalizat de spionaj cibernetic numit „Bushwalk”, care poate citi sau scrie fișiere pe un server.
„Activitatea este foarte țintită, limitată și este diferită de activitatea de exploatare în masă post-consultativă”, potrivit cercetătorilor, care au furnizat și indicatori extinși de compromis (IoC) pentru apărători și regulile YARA.
Ivanti și CISA au lansat ghiduri de atenuare actualizate ieri, organizațiile ar trebui să aplice.
Două bug-uri proaspete, de mare severitate, zero-zi
Pe lângă lansarea de corecții pentru erorile vechi de trei săptămâni, Ivanti a adăugat și remedieri pentru două noi CVE la același aviz. Sunt:
-
CVE-2024-21888 (Scor CVSS: 8.8): O vulnerabilitate de escaladare a privilegiilor în componenta Web a Ivanti Connect Secure și Ivanti Policy Secure, permițând atacatorilor cibernetici să obțină privilegii de administrator.
-
CVE-2024-21893 (Scor CVSS: 8.2): O vulnerabilitate de falsificare a cererilor pe partea de server în componenta SAML a Ivanti Connect Secure, Ivanti Policy Secure și Ivanti Neurons pentru ZTA, permițând atacatorilor cibernetici să acceseze „anumite resurse restricționate fără autentificare”.
Doar exploatările pentru acestea din urmă au circulat în sălbăticie, iar activitatea „pare a fi vizată”, conform avizului lui Ivanti, dar a adăugat că organizațiile ar trebui să „se aștepte la o creștere bruscă a exploatării odată ce aceste informații sunt publice – similar cu ceea ce am observat. la 11 ianuarie după divulgarea din 10 ianuarie.”
Dunham, de la Qualys TRU, spune că se așteaptă la atacuri de la mai mult decât doar APT-uri: „Mulți actori profită de oportunitățile de exploatare a vulnerabilităților înainte ca organizațiile să repare și să se întărească împotriva atacului. prioritate pentru corecție, dacă utilizați versiuni vulnerabile în producție.”
Cercetătorii avertizează, de asemenea, că rezultatul unui compromis poate fi periculos pentru organizații.
„Aceste [noi] defecte de înaltă securitate Ivanti sunt grave [și deosebit de valoroase pentru atacatori] și ar trebui remediate imediat”, spune Patrick Tiquet, vicepreședinte de securitate și arhitectură la Keeper Security. „Aceste vulnerabilități, dacă sunt exploatate, pot acorda acces neautorizat la sistemele sensibile și pot compromite o întreagă rețea.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :are
- :este
- :nu
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- acces
- Conform
- recunoaște
- activ
- activităţi de
- activitate
- actori
- adăugat
- plus
- Suplimentar
- informatii suplimentare
- adoptată
- avansat
- amenințare persistentă avansată
- Avantaj
- consultativ
- împotriva
- deopotrivă
- TOATE
- Permiterea
- de asemenea
- an
- Ancoră
- și
- a anunțat
- apare
- Electrocasnice
- Aplică
- APT
- arbitrar
- arhitectură
- SUNT
- AS
- asociate
- At
- ataca
- Atacuri
- atenţie
- Autentificare
- evita
- înapoi
- ușă din dos
- Backdoors
- BE
- fost
- început
- în spatele
- Dincolo de
- gandaci
- dar
- by
- by-pass
- denumit
- apeluri
- CAN
- sigur
- lanţ
- chinez
- Cerc
- CISA
- venire
- săptămâni următoare
- Comunicații
- companie
- component
- compromis
- compromis
- Configuraţie
- Conectați
- continuă
- personalizat
- clienţii care
- Atac cibernetic
- cybercriminals
- Periculos
- de date
- decembrie
- apărătorii
- Implementarea
- detaliat
- diferit
- Director
- dezvăluire
- distinct
- face
- Descarca
- două
- Mai devreme
- Devreme
- încorporat
- permite
- criptate
- Întreg
- medii
- Escaladarea
- stabili
- Eter (ETH)
- execuție
- exfiltrațiile
- existent
- aștepta
- exploatare
- exploatat
- exploit
- extensiv
- Cădere
- departe
- Dispunând
- Fișier
- Fişiere
- În cele din urmă
- financiar
- First
- remedieri
- fanionat
- defecte
- următor
- Pentru
- frenezie
- proaspăt
- din
- Combustibil
- funcționalitate
- funcții
- Câştig
- poartă
- General
- merge
- acordarea
- Grupului
- Avea
- extrem de
- Totuși
- HTTPS
- ICON
- if
- imediat
- in
- include
- Crește
- Indicatorii
- informații
- inițială
- inserții
- interes
- intern
- în
- Emis
- IT
- ESTE
- în sine
- Ivanta
- Jan
- ianuarie
- jpg
- doar
- legitim
- ca
- Probabil
- Limitat
- făcut
- malware
- Masa
- Mai..
- între timp
- atenuare
- modifica
- mai mult
- motivat
- mişcare
- multiplu
- reţea
- rețele
- rețele
- neuronii
- Nou
- acum
- număr
- observate
- of
- on
- dată
- ONE
- afară
- deschide
- open-source
- Oportunităţi
- or
- organizații
- original
- Altele
- Altele
- afară
- ofertele
- pereche
- în special
- parteneri
- pasiv
- Parolele
- Plasture
- Patch-uri
- patching
- patrick
- Text simplu
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- Politica
- posibilitate
- preşedinte
- anterior
- prioritate
- privilegiu
- privilegii
- producere
- protocol
- prevăzut
- furnizează
- împuternicit
- public
- Piton
- RE
- Citeste
- legate de
- eliberat
- la distanta
- solicita
- cercetare
- cercetători
- Resurse
- limitat
- rezultat
- inversa
- sul
- Rulare
- rotund
- rutină
- norme
- s
- Said
- acelaşi
- spune
- programa
- scor
- sigur
- securitate
- sensibil
- serios
- serverul
- set
- ascuţit
- Coajă
- să
- asemănător
- întrucât
- So
- până acum
- soluţie
- unele
- Sursă
- fură
- Reușit
- furnizori
- livra
- lanțului de aprovizionare
- a sustine
- sisteme
- luare
- vizate
- obiective
- tehnică
- decât
- acea
- furt
- lor
- Acestea
- ei
- acest
- amenințare
- la
- astăzi
- Unelte
- TRU
- tunel
- Două
- Tipuri
- neautorizat
- în
- unitate
- necunoscut
- actualizat
- utilizat
- utilizatorii
- utilizări
- folosind
- Valoros
- Variantă
- Versiunile
- viciu
- Vicepreședinte
- Victimă
- VPN
- VPN-uri
- Vulnerabilitățile
- vulnerabilitate
- vulnerabil
- avertizează
- we
- web
- săptămâni
- au fost
- Ce
- care
- OMS
- Sălbatic
- voi
- cu
- în
- fără
- scrie
- ieri
- tu
- Ta
- zephyrnet
