Več Ivanti VPN Zero-Days Fuel Attack Frenzy kot popravki končno prihajajo

Ivanti je končno začel popravljati par varnostnih ranljivosti zero-day, ki so bile razkrite 10. januarja v njegovih napravah Connect Secure VPN. Vendar pa je danes objavil tudi dve dodatni napaki na platformi, CVE-2024-21888 in CVE-2024-21893 — slednja se prav tako aktivno izkorišča v naravi.

Ivanti je izdal svojo prvo serijo popravkov za prvotni niz dni nič (CVE-2024-21887 in CVE-2023-46805), vendar samo za nekatere različice; dodatni popravki bodo uvedeni po zamaknjenem urniku v prihodnjih tednih, je družba zapisala v svojem današnjem posodobljenem svetovanju. Medtem je Ivanti zagotovil ublažitev, ki bi jo morale nepopravljene organizacije uporabiti takoj, da ne bi postale žrtve množično izkoriščanje s strani kitajskih akterjev, ki jih sponzorira država in finančno motivirani kiberkriminalci.

Več zlonamernih programov po meri zasidranih napadov kraje podatkov

To izkoriščanje se neomajno nadaljuje. Mandiant navaja, da napredna trajna grožnja (APT), ki jo podpira Kitajska in imenuje UNC5221, stoji za množicami izkoriščanj od začetka decembra. Toda dejavnost na splošno se je precej povečala, odkar sta bila CVE-2024-21888 in CVE-2024-21893 javno objavljena prej januarja.

"Poleg UNC5221 priznavamo možnost, da je ena ali več povezanih skupin lahko povezanih z dejavnostjo," so povedali raziskovalci Mandianta v analiza kibernetskega napada Ivanti izdano danes. "Verjetno so dodatne skupine poleg UNC5221 sprejele eno ali več orodij [povezanih s kompromisi]."

Do te točke je Mandiant izdal dodatne informacije o vrstah zlonamerne programske opreme, ki jo UNC5221 in drugi akterji uporabljajo pri napadih na varna VPN-ja Ivanti Connect. Doslej vsadki, ki so jih opazili v naravi, vključujejo:

»Akterji nacionalne države UNC5221 so uspešno ciljali in izkoriščali ranljivosti v Ivantiju za krajo konfiguracijskih podatkov, spreminjanje obstoječih datotek, prenos oddaljenih datotek in obračanje predorov v omrežjih,« pravi Ken Dunham, direktor za kibernetske grožnje pri Qualys Threat Research Unit, ki opozarja Uporabniki Ivanti naj bodo pozorni na napade v dobavni verigi na svoje stranke, partnerje in dobavitelje. "Ivanti je verjetno tarča zaradi (zaradi) funkcionalnosti in arhitekture, ki ju akterjem zagotavlja, če je ogrožen, kot rešitev za mreženje in VPN, v omrežja in nižje cilje, ki jih zanimajo."

Poleg teh orodij so raziskovalci Mandianta označili dejavnost, ki uporablja obvod za Ivantijevo začetno tehniko ublažitve zaporne vrzeli, podrobno opisano v prvotnem svetovanju; v teh napadih neznani kibernetski napadalci uvajajo prilagojeno spletno lupino za kibernetsko vohunjenje, imenovano »Bushwalk«, ki lahko bere ali piše datoteke v strežnik.

"Dejavnost je zelo ciljno usmerjena, omejena in se razlikuje od dejavnosti množičnega izkoriščanja po svetovanju," pravijo raziskovalci, ki so zagotovili tudi obsežne kazalnike kompromisa (IoC) za zagovornike in pravila YARA.

Ivanti in CISA sta izdala posodobljene smernice za ublažitev včeraj, da bi morale organizacije prijaviti.

Dva sveža zelo resna hrošča ničelnega dne

Poleg uvedbe popravkov za tri tedne stare hrošče je Ivanti v isto svetovanje dodal tudi popravke za dva nova CVE. To so:

Samo izkoriščanja slednjega so krožila v divjini in dejavnost "se zdi, da je ciljna", v skladu z Ivantijevim nasvetom, vendar je dodal, da bi morale organizacije "pričakovati močno povečanje izkoriščanja, ko bodo te informacije javne - podobno kot smo opazili 11. januarja po razkritju 10. januarja."

Dunham iz Qualys TRU pravi, da pričakuje napade iz več kot le APT-jev: »Več akterjev izkorišča priložnosti izkoriščanja ranljivosti, preden organizacije zakrpajo in utrdijo napade. Ivantija orožijo akterji iz nacionalne države in zdaj verjetno še drugi — moral bi imeti vašo pozornost in prednost pri popravku, če uporabljate ranljive različice v proizvodnji.«

Raziskovalci tudi opozarjajo, da je rezultat kompromisa lahko nevaren za organizacije.

»Te [nove] visokovarnostne napake Ivanti so resne [in še posebej dragocene za napadalce] in jih je treba takoj popraviti,« pravi Patrick Tiquet, podpredsednik za varnost in arhitekturo pri Keeper Security. "Če se te ranljivosti izkoristijo, lahko omogočijo nepooblaščen dostop do občutljivih sistemov in ogrozijo celotno omrežje."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling