Ivanti нарешті почала виправляти пару вразливостей системи безпеки нульового дня, які були виявлені 10 січня в її пристроях Connect Secure VPN. Однак сьогодні також було оголошено про дві додаткові помилки на платформі, CVE-2024-21888 і CVE-2024-21893 — остання з яких також активно використовується в дикій природі.
Ivanti випустила першу серію патчів для вихідного набору нульових днів (CVE-2024-21887 і CVE-2023-46805), але лише для деяких версій; У оновленому сьогоднішньому повідомленні компанія заявила, що додаткові виправлення будуть впроваджуватися за графіком у найближчі тижні. Тим часом Ivanti забезпечив пом’якшення, яке організації без виправлень повинні застосувати негайно, щоб не стати жертвою масова експлуатація суб’єктами китайської держави і фінансово вмотивовані кіберзлочинці.
Кілька користувальницьких шкідливих програм прив’язують атаки на крадіжки даних
Що експлуатація не припиняється. За даними Mandiant, підтримувана Китаєм розширена постійна загроза (APT), яку вона називає UNC5221, стоїть за безліччю експлуатацій, починаючи з початку грудня. Але загалом активність значно зросла після оприлюднення CVE-2024-21888 і CVE-2024-21893 раніше в січні.
«На додаток до UNC5221, ми визнаємо можливість того, що одна або кілька пов’язаних груп можуть бути пов’язані з цією діяльністю», – заявили дослідники Mandiant. аналіз кібератак Ivanti випущений сьогодні. «Цілком імовірно, що інші групи за межами UNC5221 прийняли один або більше [з] інструментів [пов’язаних із компромісами]».
До цього моменту Mandiant опублікував додаткову інформацію про типи зловмисного програмного забезпечення, яке UNC5221 та інші учасники використовують в атаках на захищені VPN Ivanti Connect. Поки імплантати, які вони спостерігали в дикій природі, включають:
-
Варіант веб-оболонки LightWire, який вставляється в легітимний компонент шлюзу VPN, тепер має іншу процедуру обфускації.
-
Дві спеціалізовані веб-оболонки UNC5221 під назвою «ChainLine» і «FrameSting», які є бекдорами, вбудованими в пакунки Ivanti Connect Secure Python, які дозволяють виконувати довільні команди.
-
ZipLine, пасивний бекдор, який використовується UNC5221 і використовує спеціальний зашифрований протокол для встановлення зв’язку з системою керування (C2). Його функції включають завантаження та завантаження файлів, зворотну оболонку, проксі-сервер і сервер тунелювання.
-
Нові варіанти зловмисної програми WarpWire для крадіжки облікових даних, яка викрадає паролі та імена користувачів у відкритому вигляді для проникнення на жорстко закодований сервер C2. Mandiant не приписує всі варіанти UNC5221.
-
А також численні інструменти з відкритим вихідним кодом для підтримки діяльності після експлуатації, як-от розвідка внутрішньої мережі, латеральне переміщення та викрадання даних у обмеженій кількості жертв.
«Актори національних держав UNC5221 успішно націлили та використали вразливості в Ivanti, щоб викрасти конфігураційні дані, змінити існуючі файли, завантажити віддалені файли та здійснити зворотний тунель у мережах», — каже Кен Данхем, директор із кіберзагроз відділу дослідження загроз Qualys, який попереджає. Користувачі Ivanti повинні стежити за атаками на ланцюги поставок на своїх клієнтів, партнерів і постачальників. «Ivanti, ймовірно, став мішенню через [] функціональні можливості та архітектуру, які він надає акторам, якщо вони скомпрометовані, як мережеве та VPN-рішення, у мережі та об’єкти, що представляють інтерес».
На додаток до цих інструментів, дослідники Mandiant відзначили діяльність, яка використовує обхід для початкової техніки пом’якшення тимчасових проміжків Ivanti, детально описаної в оригінальній консультації; під час цих атак невідомі кібератаки розгортають спеціальну веб-оболонку для кібершпигунства під назвою «Bushwalk», яка може читати або записувати файли на сервер.
«Діяльність є дуже цілеспрямованою, обмеженою та відрізняється від діяльності з масової експлуатації після консультації», — зазначають дослідники, які також надали широкі показники компромісу (IoC) для захисників і правила YARA.
Ivanti та CISA опублікували оновлені рекомендації щодо пом’якшення наслідків вчора, що організації повинні подати заявку.
Дві нові серйозні помилки нульового дня
На додаток до розгортання виправлень для тритижневої давності, Ivanti також додав виправлення для двох нових CVE до тієї самої консультації. Вони є:
-
CVE-2024-21888 (оцінка CVSS: 8.8): уразливість підвищення привілеїв у веб-компоненті Ivanti Connect Secure і Ivanti Policy Secure, що дозволяє кібератакникам отримати права адміністратора.
-
CVE-2024-21893 (оцінка CVSS: 8.2): уразливість підробки запитів на стороні сервера в компоненті SAML Ivanti Connect Secure, Ivanti Policy Secure і Ivanti Neurons для ZTA, що дозволяє кібератакникам отримувати доступ до «певних обмежених ресурсів без автентифікації».
У дикій природі поширювалися лише експлойти для останнього, і ця діяльність «здається цілеспрямованою», згідно з консультацією Іванті, але в ньому додано, що організації повинні «очікати різкого зростання експлуатації, коли ця інформація стане загальнодоступною — подібно до того, що ми спостерігали 11 січня після розкриття 10 січня».
Данхем з Qualys TRU каже, що очікуються атаки не лише від APT: «Кілька суб’єктів використовують можливості використання вразливостей до того, як організації встановлюють виправлення та посилюють захист від атак. Ivanti є зброєю національних державних суб’єктів, а тепер, ймовірно, й інших — це має привернути вашу увагу та пріоритет виправлення, якщо ви використовуєте вразливі версії у виробництві».
Дослідники також попереджають, що результат компромісу може бути небезпечним для організацій.
«Ці [нові] недоліки високого рівня безпеки Ivanti серйозні [і особливо цінні для зловмисників], і їх слід негайно виправити», — каже Патрік Тіке, віце-президент із безпеки та архітектури Keeper Security. «Ці вразливості, якщо їх використати, можуть надати несанкціонований доступ до чутливих систем і скомпрометувати всю мережу».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- : має
- :є
- : ні
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- доступ
- За
- визнавати
- активний
- діяльності
- діяльність
- актори
- доданий
- доповнення
- Додатковий
- Додаткова інформація
- прийнята
- просунутий
- розширена постійна загроза
- Перевага
- консультативний
- проти
- так
- ВСІ
- Дозволити
- Також
- an
- Якір
- та
- оголошений
- з'являється
- техніка
- Застосовувати
- APT
- довільний
- архітектура
- ЕСТЬ
- AS
- асоційований
- At
- атака
- нападки
- увагу
- Authentication
- уникнути
- назад
- закулісний
- бекдори
- BE
- було
- почався
- за
- За
- помилки
- але
- by
- обходити
- званий
- Виклики
- CAN
- певний
- ланцюг
- китайський
- Коло
- СНД
- майбутній
- найближчі тижні
- зв'язку
- компанія
- компонент
- компроміс
- Компрометація
- конфігурація
- З'єднуватися
- триває
- виготовлений на замовлення
- Клієнти
- Кібератака
- кіберзлочинці
- Небезпечний
- дані
- Грудень
- Захисники
- розгортання
- докладно
- різний
- Директор
- розкриття
- чіткий
- робить
- скачати
- два
- Раніше
- Рано
- вбудований
- включіть
- зашифрованих
- Весь
- середовищах
- ескалація
- встановити
- Ефір (ETH)
- виконання
- ексфільтрація
- існуючий
- очікувати
- експлуатація
- експлуатований
- подвигів
- обширний
- Падіння
- далеко
- Показуючи
- філе
- Файли
- в кінці кінців
- фінансово
- Перший
- фіксований
- позначений прапором
- недоліки
- після
- для
- шаленство
- свіжий
- від
- Паливо
- функціональність
- Функції
- Отримувати
- шлюз
- Загальне
- буде
- надавати
- Групи
- Мати
- дуже
- Однак
- HTTPS
- ICON
- if
- негайно
- in
- включати
- Augmenter
- індикатори
- інформація
- початковий
- Вставки
- інтерес
- внутрішній
- в
- Випущений
- IT
- ЙОГО
- сам
- Іванті
- січень
- січня
- JPG
- просто
- законний
- як
- Ймовірно
- обмеженою
- made
- шкідливих програм
- Маса
- Може..
- тим часом
- пом'якшення
- змінювати
- більше
- мотивовані
- руху
- множинний
- мережу
- мережа
- мереж
- Нейрони
- Нові
- зараз
- номер
- спостерігається
- of
- on
- один раз
- ONE
- тільки
- відкрити
- з відкритим вихідним кодом
- Можливості
- or
- організації
- оригінал
- Інше
- інші
- з
- пакети
- пара
- особливо
- партнери
- пасивний
- Паролі
- пластир
- Патчі
- Виправлення
- Патрік
- Простий текст
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- точка
- політика
- можливість
- президент
- попередній
- пріоритет
- привілей
- привілеї
- Production
- протокол
- за умови
- забезпечує
- повноваження
- громадськість
- Python
- RE
- Читати
- пов'язаний
- випущений
- віддалений
- запросити
- дослідження
- Дослідники
- ресурси
- обмежений
- результат
- зворотний
- Котити
- рухомий
- круглий
- рутина
- Правила
- s
- Зазначений
- то ж
- говорить
- розклад
- рахунок
- безпечний
- безпеку
- чутливий
- серйозний
- сервер
- комплект
- гострий
- Склад
- Повинен
- аналогічний
- з
- So
- так далеко
- рішення
- деякі
- Source
- крадеться
- Успішно
- постачальники
- поставка
- ланцюжка поставок
- підтримка
- Systems
- взяття
- цільове
- цілі
- техніка
- ніж
- Що
- Команда
- крадіжка
- їх
- Ці
- вони
- це
- загроза
- до
- сьогодні
- інструменти
- TRU
- тунель
- два
- Типи
- несанкціонований
- при
- блок
- невідомий
- оновлений
- використовуваний
- користувачі
- використовує
- використання
- Цінний
- варіант
- версії
- віце
- Віцепрезидент
- Жертва
- VPN
- VPN
- Уразливості
- вразливість
- Вразливий
- Попереджає
- we
- Web
- тижня
- були
- Що
- який
- ВООЗ
- Wild
- волі
- з
- в
- без
- запис
- вчора
- ви
- вашу
- зефірнет