Компания Ivanti наконец-то приступила к исправлению пары уязвимостей нулевого дня, обнаруженных 10 января в ее устройствах Connect Secure VPN. Однако сегодня компания также объявила о двух дополнительных ошибках в платформе: CVE-2024-21888 и CVE-2024-21893, последняя из которых также активно эксплуатируется.
Ivanti выпустила первую порцию патчей для исходного набора нулевых дней (CVE-2024-21887 и CVE-2023-46805), но только для некоторых версий; Дополнительные исправления будут внедряться по шахматному графику в ближайшие недели, сообщила компания в своем обновленном сообщении сегодня. Тем временем Иванти предоставил меры по смягчению последствий, которые организациям, не прошедшим исправления, следует применить немедленно, чтобы не стать жертвой кибератак. массовая эксплуатация китайскими актерами, спонсируемыми государством и финансово мотивированные киберпреступники.
Множественные пользовательские вредоносные программы приводят к атакам по краже данных
То, что эксплуатация продолжается. По данным Mandiant, поддерживаемая Китаем продвинутая постоянная угроза (APT), которую он называет UNC5221, стояла за множеством атак, начиная с начала декабря. Но в целом активность значительно возросла после того, как ранее в январе были обнародованы CVE-2024-21888 и CVE-2024-21893.
«Помимо UNC5221, мы признаем возможность того, что с этой деятельностью могут быть связаны одна или несколько связанных групп», — заявили исследователи Mandiant в анализ кибератак Ivanti выпущен сегодня. «Вполне вероятно, что дополнительные группы, помимо UNC5221, приняли один или несколько инструментов [связанных с компромиссами]».
В связи с этим Mandiant опубликовал дополнительную информацию о типах вредоносного ПО, которое UNC5221 и другие участники используют в атаках на защищенные VPN Ivanti Connect. На данный момент имплантаты, которые они наблюдали в дикой природе, включают:
-
Вариант веб-оболочки LightWire, который вставляется в легитимный компонент VPN-шлюза и теперь имеет другую процедуру запутывания.
-
Две пользовательские веб-оболочки UNC5221, называемые «ChainLine» и «FrameSting», представляют собой бэкдоры, встроенные в пакеты Ivanti Connect Secure Python, которые позволяют выполнять произвольные команды.
-
ZipLine, пассивный бэкдор, используемый UNC5221, который использует специальный зашифрованный протокол для установления связи с командованием и контролем (C2). Его функции включают загрузку и загрузку файлов, обратную оболочку, прокси-сервер и туннельный сервер.
-
Новые варианты вредоносного ПО для кражи учетных данных WarpWire, которое крадет пароли и имена пользователей в виде открытого текста для проникновения на жестко закодированный сервер C2. Mandiant не приписывает все варианты UNC5221.
-
А также множество инструментов с открытым исходным кодом для поддержки действий после эксплуатации, таких как разведка внутренней сети, горизонтальное перемещение и утечка данных в ограниченном количестве сред жертвы.
«Государственные субъекты UNC5221 успешно выявили и использовали уязвимости в Ivanti для кражи данных конфигурации, изменения существующих файлов, загрузки удаленных файлов и обратного туннелирования внутри сетей», — говорит Кен Данхэм, директор по киберугрозам в Qualys Threat Research Unit, который предупреждает Пользователи Ivanti должны следить за атаками в цепочке поставок на своих клиентов, партнеров и поставщиков. «Иванти, скорее всего, станет мишенью из-за функциональности и архитектуры, которые он предоставляет субъектам в случае взлома в качестве сетевого и VPN-решения в сети и нижестоящие цели, представляющие интерес».
В дополнение к этим инструментам исследователи Mandiant отметили активность, в которой используется обход первоначальной техники устранения пробелов Иванти, подробно описанной в исходной рекомендации; В ходе этих атак неизвестные киберзлоумышленники развертывают специальную веб-оболочку кибершпионажа под названием «Bushwalk», которая может читать или записывать файлы на сервер.
«Эта деятельность носит строго целенаправленный, ограниченный характер и отличается от деятельности по массовой эксплуатации после вынесения рекомендаций», — утверждают исследователи, которые также предоставили обширные индикаторы компрометации (IoC) для правозащитников и правила YARA.
Ivanti и CISA выпустили обновленное руководство по смягчению последствий вчера, что организации должны подать заявку.
Две свежие серьезные ошибки нулевого дня
Помимо выпуска исправлений для ошибок трехнедельной давности, Иванти также добавил в ту же рекомендацию исправления для двух новых CVE. Они есть:
-
CVE-2024-21888 (оценка CVSS: 8.8): уязвимость повышения привилегий в веб-компоненте Ivanti Connect Secure и Ivanti Policy Secure, позволяющая киберзлоумышленникам получить права администратора.
-
CVE-2024-21893 (оценка CVSS: 8.2): уязвимость подделки запросов на стороне сервера в компоненте SAML Ivanti Connect Secure, Ivanti Policy Secure и Ivanti Neurons for ZTA, позволяющая киберзлоумышленникам получить доступ к «определенным ресурсам с ограниченным доступом без аутентификации».
В дикой природе циркулируют только эксплойты для последнего, и эта деятельность «кажется целенаправленной», согласно рекомендации Иванти, но он добавил, что организациям следует «ожидать резкого увеличения количества эксплойтов, как только эта информация станет общедоступной — аналогично тому, что мы наблюдали». 11 января после раскрытия информации от 10 января».
Данэм из Qualys TRU говорит, что следует ожидать атак не только со стороны APT: «Множество субъектов пользуются возможностями эксплуатации уязвимостей до того, как организации вносят исправления и укрепляют меры защиты от атак. Ivanti используется в качестве оружия субъектами национальных государств, а теперь, вероятно, и другими - он должен привлечь ваше внимание и приоритет исправления, если вы используете уязвимые версии в производстве».
Исследователи также предупреждают, что результат компрометации может быть опасен для организаций.
«Эти [новые] недостатки высокого уровня безопасности Ivanti серьезны [и особенно ценны для злоумышленников] и должны быть немедленно исправлены», — говорит Патрик Тике, вице-президент по безопасности и архитектуре Keeper Security. «Эти уязвимости, если они будут использованы, могут предоставить несанкционированный доступ к конфиденциальным системам и поставить под угрозу всю сеть».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :имеет
- :является
- :нет
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- доступ
- По
- признавать
- активный
- активно
- деятельность
- актеры
- добавленный
- дополнение
- дополнительный
- Дополнительная информация
- принял
- продвинутый
- постоянная постоянная угроза
- плюс
- консультативный
- против
- одинаково
- Все
- Позволяющий
- причислены
- an
- Ведущий
- и
- объявило
- появляется
- техника
- Применить
- APT
- произвольный
- архитектура
- МЫ
- AS
- связанный
- At
- атаковать
- нападки
- внимание
- Аутентификация
- избежать
- назад
- задняя дверь
- Черные ходы
- BE
- было
- начал
- за
- Beyond
- ошибки
- но
- by
- байпас
- под названием
- Объявления
- CAN
- определенный
- цепь
- китайский
- Circle
- CISA
- приход
- ближайшие недели
- Связь
- Компания
- компонент
- скомпрометированы
- Ослабленный
- Конфигурация
- Свяжитесь
- продолжается
- изготовленный на заказ
- Клиенты
- Кибератака
- киберпреступники
- опасно
- данным
- Декабрь
- Защитники
- развертывание
- подробный
- различный
- директор
- раскрытие
- отчетливый
- приносит
- скачать
- два
- Ранее
- Рано
- встроенный
- включить
- зашифрованный
- Весь
- средах
- эскалация
- установить
- Эфир (ETH)
- выполнение
- эксфильтрации
- существующий
- ожидать
- эксплуатация
- Эксплуатируемый
- использует
- обширный
- Падение
- далеко
- Показывая
- Файл
- Файлы
- в заключение
- в финансовом отношении
- First
- исправления
- Помеченные
- недостатки
- после
- Что касается
- безумие
- свежий
- от
- топливо
- функциональность
- Функции
- Gain
- шлюз
- Общие
- будет
- предоставлять
- Группы
- Есть
- очень
- Однако
- HTTPS
- ICON
- if
- немедленно
- in
- включают
- Увеличение
- индикаторы
- информация
- начальный
- Вставки
- интерес
- в нашей внутренней среде,
- в
- Выпущен
- IT
- ЕГО
- саму трезвость
- Иванти
- Января
- январь
- JPG
- всего
- законный
- такое как
- Вероятно
- Ограниченный
- сделанный
- вредоносных программ
- Масса
- Май..
- то время
- смягчение
- изменять
- БОЛЕЕ
- мотивированные
- движение
- с разными
- сеть
- сетей
- сетей
- Нейроны
- Новые
- сейчас
- номер
- наблюдается
- of
- on
- консолидировать
- ONE
- только
- открытый
- с открытым исходным кодом
- Возможности
- or
- организации
- оригинал
- Другое
- Другое
- внешний
- пакеты
- пара
- особенно
- партнеры
- пассивный
- пароли
- Патчи
- Патчи
- Заделка
- Патрик
- Простой текст
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- политика
- возможность
- президент
- Предварительный
- приоритет
- привилегия
- привилегии
- Производство
- протокол
- при условии
- приводит
- полномочие
- что такое варган?
- Питон
- RE
- Читать
- Связанный
- выпустил
- удаленные
- запросить
- исследованиям
- исследователи
- Полезные ресурсы
- ограниченный
- результат
- обратный
- Катить
- Подвижной
- год
- рутина
- условиями,
- s
- Сказал
- то же
- говорит
- график
- Гол
- безопасный
- безопасность
- чувствительный
- серьезный
- сервер
- набор
- острый
- Оболочка
- должен
- аналогичный
- с
- So
- уже
- Решение
- некоторые
- Источник
- перехватов
- Успешно
- поставщики
- поставка
- цепочками поставок
- поддержка
- системы
- с
- целевое
- направлена против
- техника
- чем
- который
- Ассоциация
- кража
- их
- Эти
- они
- этой
- угроза
- в
- сегодня
- инструменты
- TRU
- тоннель
- два
- Типы
- неразрешенный
- под
- Ед. изм
- неизвестный
- обновление
- используемый
- пользователей
- использования
- через
- ценный
- Вариант
- версии
- вице
- вице-президент
- Жертва
- VPN
- Виртуальные частные сети
- Уязвимости
- уязвимость
- Уязвимый
- предупреждает
- we
- Web
- Недели
- были
- Что
- который
- КТО
- Дикий
- будете
- в
- без
- записывать
- вчера
- являетесь
- ВАШЕ
- зефирнет