ในที่สุด Ivanti ก็ได้เริ่มแก้ไขช่องโหว่ด้านความปลอดภัยแบบ Zero-day ที่เปิดเผยเมื่อวันที่ 10 มกราคมในอุปกรณ์ Connect Secure VPN อย่างไรก็ตาม วันนี้ยังได้ประกาศข้อบกพร่องเพิ่มเติมอีกสองรายการในแพลตฟอร์ม CVE-2024-21888 และ CVE-2024-21893 ซึ่งอย่างหลังยังอยู่ภายใต้การใช้ประโยชน์อย่างแข็งขันในป่า
Ivanti ได้เปิดตัวแพตช์รอบแรกแล้ว สำหรับชุดศูนย์วันเดิม (CVE-2024-21887 และ CVE-2023-46805) แต่สำหรับบางเวอร์ชันเท่านั้น การแก้ไขเพิ่มเติมจะเปิดตัวตามกำหนดการที่เหลื่อมล้ำในอีกไม่กี่สัปดาห์ข้างหน้า บริษัท กล่าวในคำแนะนำที่อัปเดตในวันนี้ ในระหว่างนี้ Ivanti ได้จัดเตรียมการบรรเทาผลกระทบที่องค์กรที่ไม่ได้รับแพตช์ควรนำไปใช้ทันทีเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ การแสวงประโยชน์จำนวนมากโดยนักแสดงที่ได้รับการสนับสนุนจากรัฐจีน และอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงินเหมือนกัน
มัลแวร์แบบกำหนดเองหลายรายการโจมตีการโจรกรรมข้อมูล
ที่ การแสวงหาผลประโยชน์ยังคงดำเนินต่อไปไม่ลดลง- จากข้อมูลของ Mandiant ภัยคุกคามขั้นสูงแบบถาวร (APT) ที่ได้รับการสนับสนุนจากจีน ที่เรียกว่า UNC5221 นั้นอยู่เบื้องหลังการแสวงหาประโยชน์มากมายตั้งแต่ต้นเดือนธันวาคม แต่กิจกรรมโดยทั่วไปได้เพิ่มขึ้นอย่างมากนับตั้งแต่ CVE-2024-21888 และ CVE-2024-21893 ได้รับการเผยแพร่สู่สาธารณะเมื่อต้นเดือนมกราคม
“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in การวิเคราะห์การโจมตีทางไซเบอร์ของ Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”
ถึงจุดนั้น Mandiant ได้ออกข้อมูลเพิ่มเติมเกี่ยวกับประเภทของมัลแวร์ที่ UNC5221 และผู้ดำเนินการอื่นๆ ใช้ในการโจมตี Ivanti Connect Secure VPN จนถึงขณะนี้ การปลูกถ่ายที่พวกเขาสังเกตเห็นในป่า ได้แก่ :
-
เวอร์ชันหนึ่งของ LightWire Web Shell ที่แทรกตัวเองลงในส่วนประกอบที่ถูกต้องของเกตเวย์ VPN ซึ่งขณะนี้มีรูทีนการทำให้สับสนที่แตกต่างกัน
-
Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.
-
ZipLine ซึ่งเป็นแบ็คดอร์แบบพาสซีฟที่ใช้โดย UNC5221 ซึ่งใช้โปรโตคอลที่เข้ารหัสแบบกำหนดเองเพื่อสร้างการสื่อสารด้วยคำสั่งและการควบคุม (C2) ฟังก์ชั่นของมันรวมถึงการอัพโหลดและดาวน์โหลดไฟล์, Reverse Shell, พร็อกซีเซิร์ฟเวอร์ และเซิร์ฟเวอร์ทันเนล
-
มัลแวร์ขโมยข้อมูลรับรอง WarpWire รูปแบบใหม่ ซึ่งขโมยรหัสผ่านข้อความธรรมดาและชื่อผู้ใช้เพื่อกรองไปยังเซิร์ฟเวอร์ C2 แบบฮาร์ดโค้ด Mandiant ไม่ได้ระบุว่าตัวแปรทั้งหมดเป็น UNC5221
-
และเครื่องมือโอเพ่นซอร์สมากมายเพื่อรองรับกิจกรรมหลังการแสวงหาผลประโยชน์ เช่น การลาดตระเวนเครือข่ายภายใน การเคลื่อนไหวด้านข้าง และการขโมยข้อมูลภายในสภาพแวดล้อมของเหยื่อในจำนวนที่จำกัด
“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”
In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.
“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.
Ivanti และ CISA เผยแพร่แนวทางการลดปัญหาที่อัปเดตแล้ว เมื่อวานที่องค์กรควรสมัคร
แมลง Zero-Day ที่มีความรุนแรงสูง 2 ตัว
นอกเหนือจากการเปิดตัวแพตช์สำหรับข้อบกพร่องที่มีอายุสามสัปดาห์แล้ว Ivanti ยังเพิ่มการแก้ไขสำหรับ CVE ใหม่สองตัวในคำแนะนำเดียวกัน พวกเขาคือ:
-
CVE-2024-21888 (คะแนน CVSS: 8.8): ช่องโหว่ในการยกระดับสิทธิ์ในองค์ประกอบเว็บของ Ivanti Connect Secure และ Ivanti Policy Secure ทำให้ผู้โจมตีทางไซเบอร์ได้รับสิทธิ์ของผู้ดูแลระบบ
-
CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”
Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”
Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”
นักวิจัยยังเตือนด้วยว่าผลของการประนีประนอมอาจเป็นอันตรายต่อองค์กรได้
“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- เข้า
- ตาม
- รับทราบ
- คล่องแคล่ว
- กิจกรรม
- อยากทำกิจกรรม
- นักแสดง
- ที่เพิ่ม
- นอกจากนี้
- เพิ่มเติม
- ข้อมูลเพิ่มเติม
- บุญธรรม
- สูง
- ภัยคุกคามต่อเนื่องขั้นสูง
- ความได้เปรียบ
- ที่ปรึกษา
- กับ
- เหมือนกัน
- ทั้งหมด
- การอนุญาต
- ด้วย
- an
- สมอ
- และ
- ประกาศ
- ปรากฏ
- เครื่องใช้
- ใช้
- APT
- โดยพลการ
- สถาปัตยกรรม
- เป็น
- AS
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- ความสนใจ
- การยืนยันตัวตน
- หลีกเลี่ยง
- กลับ
- ประตูหลัง
- แบ็ค
- BE
- รับ
- เริ่ม
- หลัง
- เกิน
- เป็นโรคจิต
- แต่
- by
- ทางอ้อม
- ที่เรียกว่า
- โทร
- CAN
- บาง
- โซ่
- ชาวจีน
- วงกลม
- ซีไอเอสเอ
- มา
- สัปดาห์ที่ผ่านมา
- คมนาคม
- บริษัท
- ส่วนประกอบ
- การประนีประนอม
- ที่ถูกบุกรุก
- องค์ประกอบ
- เชื่อมต่อ
- อย่างต่อเนื่อง
- ประเพณี
- ลูกค้า
- cyberattack
- อาชญากรไซเบอร์
- Dangerous
- ข้อมูล
- ธันวาคม
- Defenders
- ปรับใช้
- รายละเอียด
- ต่าง
- ผู้อำนวยการ
- การเปิดเผย
- แตกต่าง
- ทำ
- ดาวน์โหลด
- สอง
- ก่อน
- ก่อน
- ที่ฝัง
- ทำให้สามารถ
- ที่มีการเข้ารหัส
- ทั้งหมด
- สภาพแวดล้อม
- การเพิ่ม
- สร้าง
- อีเธอร์ (ETH)
- การปฏิบัติ
- การกรอง
- ที่มีอยู่
- คาดหวัง
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การหาประโยชน์
- กว้างขวาง
- ล้ม
- ไกล
- ที่มีคุณสมบัติ
- เนื้อไม่มีมัน
- ไฟล์
- ในที่สุด
- ให้เงิน
- ชื่อจริง
- แก้ไข
- ถูกตั้งค่าสถานะ
- ข้อบกพร่อง
- ดังต่อไปนี้
- สำหรับ
- ความบ้า
- สด
- ราคาเริ่มต้นที่
- เชื้อเพลิง
- ฟังก์ชั่น
- ฟังก์ชั่น
- ได้รับ
- เกตเวย์
- General
- ไป
- ให้
- กลุ่ม
- มี
- อย่างสูง
- อย่างไรก็ตาม
- HTTPS
- ICON
- if
- ทันที
- in
- ประกอบด้วย
- เพิ่ม
- ตัวชี้วัด
- ข้อมูล
- แรกเริ่ม
- แทรก
- อยากเรียนรู้
- ภายใน
- เข้าไป
- ทุนที่ออก
- IT
- ITS
- ตัวเอง
- อิวานตี
- แจน
- มกราคม
- jpg
- เพียงแค่
- ถูกกฎหมาย
- กดไลก์
- น่าจะ
- ถูก จำกัด
- ทำ
- มัลแวร์
- มวล
- อาจ..
- ขณะ
- การบรรเทา
- แก้ไข
- ข้อมูลเพิ่มเติม
- แรงบันดาลใจ
- การเคลื่อนไหว
- หลาย
- เครือข่าย
- เครือข่าย
- เครือข่าย
- เซลล์ประสาท
- ใหม่
- ตอนนี้
- จำนวน
- ตั้งข้อสังเกต
- of
- on
- ครั้งเดียว
- ONE
- เพียง
- เปิด
- โอเพนซอร์ส
- โอกาส
- or
- องค์กร
- เป็นต้นฉบับ
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ออก
- แพคเกจ
- คู่
- โดยเฉพาะ
- พาร์ทเนอร์
- อยู่เฉยๆ
- รหัสผ่าน
- ปะ
- แพทช์
- ปะ
- แพทริค
- ข้อความธรรมดา
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- นโยบาย
- ความเป็นไปได้
- ประธาน
- ก่อน
- ลำดับความสำคัญ
- สิทธิพิเศษ
- สิทธิ์
- การผลิต
- โปรโตคอล
- ให้
- ให้
- หนังสือมอบฉันทะ
- สาธารณะ
- หลาม
- RE
- อ่าน
- ที่เกี่ยวข้อง
- การเผยแพร่
- รีโมท
- ขอ
- การวิจัย
- นักวิจัย
- แหล่งข้อมูล
- หวงห้าม
- ผล
- ย้อนกลับ
- ม้วน
- กลิ้ง
- ปัดเศษ
- ประจำวัน
- กฎระเบียบ
- s
- กล่าวว่า
- เดียวกัน
- พูดว่า
- กำหนด
- คะแนน
- ปลอดภัย
- ความปลอดภัย
- มีความละเอียดอ่อน
- ร้ายแรง
- เซิร์ฟเวอร์
- ชุด
- คม
- เปลือก
- น่า
- คล้ายคลึงกัน
- ตั้งแต่
- So
- จนถึงตอนนี้
- ทางออก
- บาง
- แหล่ง
- ขโมย
- ประสบความสำเร็จ
- ซัพพลายเออร์
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- สนับสนุน
- ระบบ
- การ
- เป้าหมาย
- เป้าหมาย
- เทคนิค
- กว่า
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- การคุกคาม
- ไปยัง
- ในวันนี้
- เครื่องมือ
- TRU
- อุโมงค์
- สอง
- ชนิด
- ไม่มีสิทธิ
- ภายใต้
- หน่วย
- ไม่ทราบ
- ให้กับคุณ
- มือสอง
- ผู้ใช้
- ใช้
- การใช้
- มีคุณค่า
- ตัวแปร
- รุ่น
- รอง
- Vice President
- เหยื่อ
- VPN
- VPNs
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- เตือน
- we
- เว็บ
- สัปดาห์ที่ผ่านมา
- คือ
- อะไร
- ที่
- WHO
- ป่า
- จะ
- กับ
- ภายใน
- ไม่มี
- เขียน
- เมื่อวาน
- เธอ
- ของคุณ
- ลมทะเล