Ivanti VPN Zero-Days Fuel Attack อย่างบ้าคลั่งมากขึ้นเมื่อแพทช์เปิดตัวในที่สุด

Ivanti VPN Zero-Days Fuel Attack อย่างบ้าคลั่งมากขึ้นเมื่อแพทช์เปิดตัวในที่สุด

ประทับเวลา: 31 มกราคม 2024 3:25 น
โหนดต้นทาง: 3090562

ในที่สุด Ivanti ก็ได้เริ่มแก้ไขช่องโหว่ด้านความปลอดภัยแบบ Zero-day ที่เปิดเผยเมื่อวันที่ 10 มกราคมในอุปกรณ์ Connect Secure VPN อย่างไรก็ตาม วันนี้ยังได้ประกาศข้อบกพร่องเพิ่มเติมอีกสองรายการในแพลตฟอร์ม CVE-2024-21888 และ CVE-2024-21893 ซึ่งอย่างหลังยังอยู่ภายใต้การใช้ประโยชน์อย่างแข็งขันในป่า

Ivanti ได้เปิดตัวแพตช์รอบแรกแล้ว สำหรับชุดศูนย์วันเดิม (CVE-2024-21887 และ CVE-2023-46805) แต่สำหรับบางเวอร์ชันเท่านั้น การแก้ไขเพิ่มเติมจะเปิดตัวตามกำหนดการที่เหลื่อมล้ำในอีกไม่กี่สัปดาห์ข้างหน้า บริษัท กล่าวในคำแนะนำที่อัปเดตในวันนี้ ในระหว่างนี้ Ivanti ได้จัดเตรียมการบรรเทาผลกระทบที่องค์กรที่ไม่ได้รับแพตช์ควรนำไปใช้ทันทีเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ การแสวงประโยชน์จำนวนมากโดยนักแสดงที่ได้รับการสนับสนุนจากรัฐจีน และอาชญากรไซเบอร์ที่มีแรงจูงใจทางการเงินเหมือนกัน

มัลแวร์แบบกำหนดเองหลายรายการโจมตีการโจรกรรมข้อมูล

ที่ การแสวงหาผลประโยชน์ยังคงดำเนินต่อไปไม่ลดลง- จากข้อมูลของ Mandiant ภัยคุกคามขั้นสูงแบบถาวร (APT) ที่ได้รับการสนับสนุนจากจีน ที่เรียกว่า UNC5221 นั้นอยู่เบื้องหลังการแสวงหาประโยชน์มากมายตั้งแต่ต้นเดือนธันวาคม แต่กิจกรรมโดยทั่วไปได้เพิ่มขึ้นอย่างมากนับตั้งแต่ CVE-2024-21888 และ CVE-2024-21893 ได้รับการเผยแพร่สู่สาธารณะเมื่อต้นเดือนมกราคม

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in การวิเคราะห์การโจมตีทางไซเบอร์ของ Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

ถึงจุดนั้น Mandiant ได้ออกข้อมูลเพิ่มเติมเกี่ยวกับประเภทของมัลแวร์ที่ UNC5221 และผู้ดำเนินการอื่นๆ ใช้ในการโจมตี Ivanti Connect Secure VPN จนถึงขณะนี้ การปลูกถ่ายที่พวกเขาสังเกตเห็นในป่า ได้แก่ :

  • เวอร์ชันหนึ่งของ LightWire Web Shell ที่แทรกตัวเองลงในส่วนประกอบที่ถูกต้องของเกตเวย์ VPN ซึ่งขณะนี้มีรูทีนการทำให้สับสนที่แตกต่างกัน

  • Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.

  • ZipLine ซึ่งเป็นแบ็คดอร์แบบพาสซีฟที่ใช้โดย UNC5221 ซึ่งใช้โปรโตคอลที่เข้ารหัสแบบกำหนดเองเพื่อสร้างการสื่อสารด้วยคำสั่งและการควบคุม (C2) ฟังก์ชั่นของมันรวมถึงการอัพโหลดและดาวน์โหลดไฟล์, Reverse Shell, พร็อกซีเซิร์ฟเวอร์ และเซิร์ฟเวอร์ทันเนล

  • มัลแวร์ขโมยข้อมูลรับรอง WarpWire รูปแบบใหม่ ซึ่งขโมยรหัสผ่านข้อความธรรมดาและชื่อผู้ใช้เพื่อกรองไปยังเซิร์ฟเวอร์ C2 แบบฮาร์ดโค้ด Mandiant ไม่ได้ระบุว่าตัวแปรทั้งหมดเป็น UNC5221

  • และเครื่องมือโอเพ่นซอร์สมากมายเพื่อรองรับกิจกรรมหลังการแสวงหาผลประโยชน์ เช่น การลาดตระเวนเครือข่ายภายใน การเคลื่อนไหวด้านข้าง และการขโมยข้อมูลภายในสภาพแวดล้อมของเหยื่อในจำนวนที่จำกัด

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti และ CISA เผยแพร่แนวทางการลดปัญหาที่อัปเดตแล้ว เมื่อวานที่องค์กรควรสมัคร

แมลง Zero-Day ที่มีความรุนแรงสูง 2 ตัว

นอกเหนือจากการเปิดตัวแพตช์สำหรับข้อบกพร่องที่มีอายุสามสัปดาห์แล้ว Ivanti ยังเพิ่มการแก้ไขสำหรับ CVE ใหม่สองตัวในคำแนะนำเดียวกัน พวกเขาคือ:

  • CVE-2024-21888 (คะแนน CVSS: 8.8): ช่องโหว่ในการยกระดับสิทธิ์ในองค์ประกอบเว็บของ Ivanti Connect Secure และ Ivanti Policy Secure ทำให้ผู้โจมตีทางไซเบอร์ได้รับสิทธิ์ของผู้ดูแลระบบ

  • CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

นักวิจัยยังเตือนด้วยว่าผลของการประนีประนอมอาจเป็นอันตรายต่อองค์กรได้

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด

CompTIA CEO สรุปความคิดริเริ่มเพื่อสร้างจุดหมายปลายทางที่โดดเด่นในการเริ่มต้นสร้างและ 'เพิ่มพลัง' ให้กับอาชีพด้านเทคนิค

คลัสเตอร์ต้นทาง:
โหนดต้นทาง: 1620920
ประทับเวลา: สิงหาคม 3, 2022