Yamalar Sonunda Geldikçe Ivanti VPN Zero-Day Saldırı Çılgınlığını Artırıyor

Yamalar Sonunda Geldikçe Ivanti VPN Zero-Day Saldırı Çılgınlığını Artırıyor

Zaman Damgası: 31 Ocak 2024 3:25
Kaynak Düğüm: 3090562

Ivanti nihayet Connect Secure VPN cihazlarında 10 Ocak'ta açıklanan bir çift sıfır gün güvenlik açığını gidermeye başladı. Bununla birlikte, bugün platformda CVE-2024-21888 ve CVE-2024-21893 olmak üzere iki ek hata daha duyurdu; bunlardan ikincisi de doğada aktif olarak kullanılıyor.

Ivanti ilk yama turunu yayınladı sıfır günlerin orijinal seti için (CVE-2024-21887 ve CVE-2023-46805) ancak yalnızca bazı sürümler için; Şirket, bugün güncellenen tavsiye belgesinde, önümüzdeki haftalarda ek düzeltmelerin kademeli bir programla yayınlanacağını söyledi. Bu arada Ivanti, yama yapılmayan kuruluşların mağdur edilmekten kaçınmak için derhal başvurması gereken bir hafifletme önlemi sağladı. Çin devleti destekli aktörlerin kitlesel sömürüsü ve finansal motivasyona sahip siber suçlular.

Çoklu Özel Kötü Amaçlı Yazılım Veri Hırsızlığı Saldırılarını Sabitliyor

O sömürü hız kesmeden devam ediyor. Mandiant'a göre, UNC5221 adını verdiği Çin destekli gelişmiş kalıcı tehdit (APT), Aralık ayının başına kadar uzanan çok sayıda istismarın arkasında yer alıyor. Ancak genel olarak aktivite, CVE-2024-21888 ve CVE-2024-21893'ün Ocak ayının başlarında halka açıklanmasından bu yana önemli ölçüde arttı.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in Ivanti siber saldırı analizi released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

Bu noktaya kadar Mandiant, UNC5221 ve diğer aktörlerin Ivanti Connect Secure VPN'lere yönelik saldırılarda kullandığı kötü amaçlı yazılım türleri hakkında ek bilgi yayınladı. Şimdiye kadar vahşi doğada gözlemledikleri implantlar arasında şunlar yer alıyor:

  • Kendisini VPN ağ geçidinin meşru bir bileşenine ekleyen LightWire Web kabuğunun bir çeşidi, artık farklı bir gizleme rutini içeriyor.

  • Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.

  • ZipLine, UNC5221 tarafından kullanılan, komuta ve kontrol (C2) ile iletişim kurmak için özel, şifreli bir protokol kullanan pasif bir arka kapıdır. İşlevleri arasında dosya yükleme ve indirme, ters kabuk, proxy sunucusu ve tünel sunucusu yer alır.

  • Sabit kodlu bir C2 sunucusuna sızmak için düz metin şifreleri ve kullanıcı adlarını çalan WarpWire kimlik bilgisi hırsızlığı kötü amaçlı yazılımının yeni çeşitleri. Mandiant, varyantların tamamını UNC5221'e atfetmiyor.

  • Ve sınırlı sayıda kurban ortamında dahili ağ keşfi, yanal hareket ve veri sızması gibi istismar sonrası faaliyetleri destekleyen çok sayıda açık kaynak araç.

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti ve CISA güncellenmiş azaltım kılavuzunu yayınladı Dün o kuruluşların başvurması gerekiyordu.

İki Yeni Yüksek Önem Derecesine Sahip Sıfır Gün Hatası

Ivanti, üç haftalık hatalar için yamalar yayınlamanın yanı sıra aynı danışma belgesine iki yeni CVE için düzeltmeler de ekledi. Bunlar:

  • CVE-2024-21888 (CVSS puanı: 8.8): Ivanti Connect Secure ve Ivanti Policy Secure'un Web bileşeninde yer alan ve siber saldırganların yönetici ayrıcalıkları elde etmesine olanak tanıyan bir ayrıcalık yükseltme güvenlik açığı.

  • CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

Araştırmacılar ayrıca uzlaşmanın sonucunun kuruluşlar için tehlikeli olabileceği konusunda da uyarıyor.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

Zaman Damgası:

Den fazla karanlık okuma