Ivanti har äntligen börjat korrigera ett par nolldagars säkerhetsbrister som avslöjades den 10 januari i sina Connect Secure VPN-enheter. Men den tillkännagav också två ytterligare buggar idag på plattformen, CVE-2024-21888 och CVE-2024-21893 - varav den senare också är under aktiv exploatering i naturen.
Ivanti har släppt sin första omgång patchar för den ursprungliga uppsättningen nolldagar (CVE-2024-21887 och CVE-2023-46805) men bara för vissa versioner; ytterligare korrigeringar kommer att rullas ut på ett förskjutet schema under de kommande veckorna, sade företaget i sin uppdaterade rådgivning idag. Under tiden har Ivanti tillhandahållit en mildring att organisationer som inte är lappade bör ansöka omedelbart för att undvika att falla offer för massutsugning av kinesiska statsstödda aktörer och ekonomiskt motiverade cyberbrottslingar.
Flera anpassade skadliga program förankrar datastöldattacker
Att exploateringen fortsätter med oförminskad styrka. Enligt Mandiant har ett Kina-stödt avancerat ihållande hot (APT) som det kallar UNC5221 legat bakom mängder av exploateringar från början av december. Men aktiviteten i allmänhet har ökat avsevärt sedan CVE-2024-21888 och CVE-2024-21893 offentliggjordes tidigare i januari.
"Förutom UNC5221, erkänner vi möjligheten att en eller flera relaterade grupper kan vara associerade med aktiviteten," sa Mandiant-forskare i en Ivanti cyberattacksanalys släpptes idag. "Det är troligt att ytterligare grupper utöver UNC5221 har antagit ett eller flera av [de] verktyg [associerade med kompromisserna]."
Till den punkten utfärdade Mandiant ytterligare information om de typer av skadlig programvara som UNC5221 och andra aktörer använder i attackerna mot Ivanti Connect Secure VPN. Hittills inkluderar implantat som de observerat i naturen:
-
En variant av LightWire-webbskalet som infogar sig själv i en legitim komponent av VPN-gatewayen, nu med en annan fördunklingsrutin.
-
Två UNC5221 anpassade webbskal, kallade "ChainLine" och "FrameSting", som är bakdörrar inbäddade i Ivanti Connect Secure Python-paket som möjliggör exekvering av godtyckliga kommandon.
-
ZipLine, en passiv bakdörr som används av UNC5221 som använder ett anpassat, krypterat protokoll för att upprätta kommunikation med kommando-och-kontroll (C2). Dess funktioner inkluderar filuppladdning och nedladdning, reverse shell, proxyserver och en tunnelserver.
-
Nya varianter av WarpWire autentiseringsstöld skadlig kod, som stjäl klartextlösenord och användarnamn för exfiltrering till en hårdkodad C2-server. Mandiant tillskriver inte alla varianter till UNC5221.
-
Och flera verktyg med öppen källkod för att stödja aktiviteter efter exploatering som intern nätverksspaning, sidorörelser och dataexfiltrering inom ett begränsat antal offermiljöer.
"Nationstatliga aktörer UNC5221 har framgångsrikt riktat in sig på och utnyttjat sårbarheter i Ivanti för att stjäla konfigurationsdata, modifiera befintliga filer, ladda ner fjärrfiler och vända tunnel inom nätverk", säger Ken Dunham, cyberhotchef vid Qualys Threat Research Unit, som varnar Ivanti-användare ska vara på jakt efter attacker i leveranskedjan mot sina kunder, partners och leverantörer. "Ivanti är sannolikt måltavla på grund av funktionaliteten och arkitekturen den ger aktörer, om den äventyras, som en nätverks- och VPN-lösning, in i nätverk och nedströmsmål av intresse."
Utöver dessa verktyg flaggade forskare från Mandiant aktivitet som använder en bypass för Ivantis initiala teknik för att lindra stopp, som beskrivs i den ursprungliga rådgivningen; i dessa attacker använder okända cyberattackare ett anpassat webbskal för cyberspionage som kallas "Bushwalk", som kan läsa eller skriva till filer till en server.
"Aktiviteten är mycket målinriktad, begränsad och skiljer sig från massexploatering efter rådgivande verksamhet," enligt forskarna, som också tillhandahållit omfattande indikatorer på kompromisser (IoCs) för försvarare och YARA-regler.
Ivanti och CISA släppte uppdaterade begränsningsvägledning igår att organisationer borde ansöka.
Två färska Zero-Day buggar
Förutom att rulla ut patchar för de tre veckor gamla buggarna, lade Ivanti också till korrigeringar för två nya CVE:er i samma råd. Dom är:
-
CVE-2024-21888 (CVSS-poäng: 8.8): En privilegieskaleringssårbarhet i webbkomponenten i Ivanti Connect Secure och Ivanti Policy Secure, vilket gör att cyberattackare kan få administratörsbehörighet.
-
CVE-2024-21893 (CVSS-poäng: 8.2): En sårbarhet för förfalskning av förfrågningar på serversidan i SAML-komponenten i Ivanti Connect Secure, Ivanti Policy Secure och Ivanti Neurons för ZTA, vilket gör att cyberattackare kan komma åt "vissa begränsade resurser utan autentisering."
Endast exploateringar för de senare har cirkulerat i naturen, och aktiviteten "tycks vara riktad", enligt Ivantis råd, men den tillade att organisationer borde "förvänta sig en kraftig ökning av exploatering när denna information är offentlig - liknande vad vi observerade den 11 januari efter offentliggörandet den 10 januari.”
Qualys TRU:s Dunham säger att man förväntar sig attacker från mer än bara APT:er: "Flera aktörer utnyttjar möjligheter till sårbarhetsexploatering innan organisationer lappar och hårdnar mot attack Ivanti beväpnas av nationalstatsaktörer och nu troligen andra - det borde ha din uppmärksamhet och prioritet att patcha, om du använder sårbara versioner i produktionen."
Forskare varnar också för att resultatet av en kompromiss kan vara farligt för organisationer.
"Dessa [nya] Ivanti högsäkerhetsbrister är allvarliga [och särskilt värdefulla för angripare] och bör åtgärdas omedelbart", säger Patrick Tiquet, vice vd för säkerhet och arkitektur på Keeper Security. "Dessa sårbarheter, om de utnyttjas, kan ge obehörig åtkomst till känsliga system och äventyra ett helt nätverk."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- : har
- :är
- :inte
- $UPP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- tillgång
- Enligt
- bekräfta
- aktiv
- aktiviteter
- aktivitet
- aktörer
- lagt till
- Dessutom
- Annat
- ytterligare information
- antagen
- avancerat
- avancerat bestående hot
- Fördel
- rådgivande
- mot
- lika
- Alla
- tillåta
- också
- an
- Ankare
- och
- meddelade
- visas
- apparater
- Ansök
- APT
- godtycklig
- arkitektur
- ÄR
- AS
- associerad
- At
- attackera
- Attacker
- uppmärksamhet
- Autentisering
- undvika
- tillbaka
- bakdörr
- Bakdörrar
- BE
- varit
- börjat
- bakom
- Bortom
- fel
- men
- by
- bypass
- kallas
- Samtal
- KAN
- vissa
- kedja
- kinesisk
- Circle
- CISA
- kommande
- kommande veckor
- Trygghet i vårdförloppet
- företag
- komponent
- kompromiss
- Äventyras
- konfiguration
- Kontakta
- fortsätter
- beställnings
- Kunder
- Cyber attack
- nätbrottslingar
- Dangerous
- datum
- December
- Försvararna
- utplacera
- detaljerad
- olika
- Direktör
- avslöjande
- distinkt
- gör
- ladda ner
- grund
- Tidigare
- Tidig
- inbäddade
- möjliggöra
- krypterad
- Hela
- miljöer
- eskalering
- etablera
- Eter (ETH)
- utförande
- exfiltrering
- befintliga
- förvänta
- utnyttjande
- utnyttjas
- bedrifter
- omfattande
- Fallande
- långt
- Med
- Fil
- Filer
- Slutligen
- ekonomiskt
- Förnamn
- fast
- flaggad
- brister
- efter
- För
- frenesi
- färsk
- från
- Bränsle
- funktionalitet
- funktioner
- Få
- nätbryggan
- Allmänt
- kommer
- bevilja
- Gruppens
- Har
- höggradigt
- Men
- HTTPS
- IKON
- if
- blir omedelbart
- in
- innefattar
- Öka
- indikatorer
- informationen
- inledande
- Insert
- intresse
- inre
- in
- Utfärdad
- IT
- DESS
- sig
- Ivanta
- jan
- Januari
- jpg
- bara
- legitim
- tycka om
- sannolikt
- Begränsad
- gjord
- malware
- Massa
- Maj..
- under tiden
- begränsning
- modifiera
- mer
- motiverad
- rörelse
- multipel
- nät
- nätverk
- nätverk
- nervceller
- Nya
- nu
- antal
- observerad
- of
- on
- gång
- ONE
- endast
- öppet
- öppen källkod
- möjligheter
- or
- organisationer
- ursprungliga
- Övriga
- Övrigt
- ut
- paket
- par
- särskilt
- partner
- passiva
- lösenord
- Lappa
- Plåster
- Patching
- patrick
- Oformatterad text
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- policy
- Möjligheten
- VD
- Innan
- prioritet
- privilegium
- privilegier
- Produktion
- protokoll
- förutsatt
- ger
- ombud
- allmän
- Python
- RE
- Läsa
- relaterad
- frigörs
- avlägsen
- begära
- forskning
- forskare
- Resurser
- begränsad
- resultera
- vända
- Rulla
- Rullande
- rund
- rutin
- regler
- s
- Nämnda
- Samma
- säger
- tidtabellen
- göra
- säkra
- säkerhet
- känslig
- allvarlig
- server
- in
- skarp
- Shell
- skall
- liknande
- eftersom
- So
- än så länge
- lösning
- några
- Källa
- stjäl
- Framgångsrikt
- leverantörer
- leverera
- leveranskedjan
- stödja
- System
- tar
- riktade
- mål
- Tekniken
- än
- den där
- Smakämnen
- stöld
- deras
- Dessa
- de
- detta
- hot
- till
- i dag
- verktyg
- TRU
- tunnel
- två
- typer
- obehörig
- under
- enhet
- okänd
- uppdaterad
- Begagnade
- användare
- användningar
- med hjälp av
- Värdefulla
- Variant
- versioner
- vice
- Vice President
- Victim
- VPN
- VPN
- sårbarheter
- sårbarhet
- Sårbara
- varnar
- we
- webb
- veckor
- były
- Vad
- som
- VEM
- Vild
- kommer
- med
- inom
- utan
- skriva
- i går
- dig
- Din
- zephyrnet
