مزید Ivanti VPN Zero-days Fuel Attack Frenzy جیسے ہی پیچ آخرکار رول کریں

مزید Ivanti VPN Zero-days Fuel Attack Frenzy جیسے ہی پیچ آخرکار رول کریں

ٹائم سٹیمپ: 31 جنوری 2024 3:25 PM
ماخذ نوڈ: 3090562

Ivanti نے بالآخر 10 جنوری کو اپنے Connect Secure VPN ایپلائینسز میں ظاہر کیے گئے صفر دن کے حفاظتی خطرات کے جوڑے کو ٹھیک کرنا شروع کر دیا ہے۔ تاہم، اس نے پلیٹ فارم میں آج دو اضافی بگس کا بھی اعلان کیا، CVE-2024-21888 اور CVE-2024-21893 - جن میں سے بعد کا جنگلی استحصال کے تحت بھی ہے۔

Ivanti نے پیچ کا پہلا دور جاری کیا ہے۔ صفر دنوں کے اصل سیٹ کے لیے (CVE-2024-21887 اور CVE-2023-46805) لیکن صرف کچھ ورژن کے لیے؛ کمپنی نے آج اپنی اپ ڈیٹ کردہ ایڈوائزری میں کہا کہ اضافی اصلاحات آنے والے ہفتوں میں ایک حیران کن شیڈول پر شروع ہو جائیں گی۔ اس دوران، Ivanti نے ایک تخفیف فراہم کی ہے کہ غیر متعلقہ تنظیموں کو فوری طور پر درخواست دینا چاہیے تاکہ چینی ریاستی سرپرستوں کے ذریعہ بڑے پیمانے پر استحصال اور مالی طور پر متحرک سائبر جرائم پیشہ افراد۔

متعدد کسٹم مال ویئرز اینکر ڈیٹا چوری کے حملے

کہ استحصال بلا روک ٹوک جاری ہے۔. مینڈینٹ کے مطابق، چین کی حمایت یافتہ ایڈوانسڈ پرسسٹنٹ خطرہ (APT) جسے UNC5221 کہتے ہیں، دسمبر کے اوائل تک استحصال کے دوبارہ شروع ہونے کے پیچھے ہے۔ لیکن جنوری کے اوائل میں CVE-2024-21888 اور CVE-2024-21893 کو عام کرنے کے بعد سے عام طور پر سرگرمی میں کافی اضافہ ہوا ہے۔

"UNC5221 کے علاوہ، ہم اس امکان کو تسلیم کرتے ہیں کہ ایک یا زیادہ متعلقہ گروہ اس سرگرمی سے منسلک ہو سکتے ہیں،" مینڈینٹ محققین نے کہا۔ Ivanti سائبر حملے کا تجزیہ آج جاری. "یہ امکان ہے کہ UNC5221 سے آگے اضافی گروپوں نے ایک یا زیادہ ٹولز [سمجھوتوں سے وابستہ] کو اپنایا ہو۔"

اس مقام تک، Mandiant نے میلویئر کی اقسام کے بارے میں اضافی معلومات جاری کیں جنہیں UNC5221 اور دیگر اداکار Ivanti Connect Secure VPNs پر حملوں میں استعمال کر رہے ہیں۔ اب تک، انہوں نے جنگل میں جو امپلانٹس دیکھے ہیں ان میں شامل ہیں:

  • لائٹ وائر ویب شیل کا ایک قسم جو خود کو VPN گیٹ وے کے ایک جائز جزو میں داخل کرتا ہے، جو اب ایک مختلف مبہم روٹین کو نمایاں کرتا ہے۔

  • دو UNC5221 کسٹم ویب شیل، جنہیں "ChainLine" اور "FrameSting" کہا جاتا ہے، جو Ivanti Connect Secure Python پیکیجز میں سرایت شدہ پچھلے دروازے ہیں جو صوابدیدی کمانڈ پر عمل درآمد کو قابل بناتے ہیں۔

  • ZipLine، UNC5221 کے ذریعے استعمال ہونے والا ایک غیر فعال بیک ڈور جو کمانڈ اینڈ کنٹرول (C2) کے ساتھ مواصلات قائم کرنے کے لیے ایک حسب ضرورت، خفیہ کردہ پروٹوکول کا استعمال کرتا ہے۔ اس کے افعال میں فائل اپ لوڈ اور ڈاؤن لوڈ، ریورس شیل، پراکسی سرور، اور ٹنلنگ سرور شامل ہیں۔

  • وارپ وائر کریڈینشل چوری میلویئر کی نئی قسمیں، جو سادہ متن کے پاس ورڈز اور صارف کے ناموں کو ایک ہارڈ کوڈڈ C2 سرور سے نکالنے کے لیے چوری کرتا ہے۔ Mandiant تمام قسموں کو UNC5221 سے منسوب نہیں کرتا ہے۔

  • اور ایک سے زیادہ اوپن سورس ٹولز جو کہ استحصال کے بعد کی سرگرمیوں کو سپورٹ کرتے ہیں جیسے کہ اندرونی نیٹ ورک کی جاسوسی، پس منظر کی نقل و حرکت، اور متاثرہ ماحول کی ایک محدود تعداد میں ڈیٹا کا اخراج۔

"قومی ریاست کے اداکار UNC5221 نے Ivanti میں کنفیگریشن ڈیٹا چوری کرنے، موجودہ فائلوں میں ترمیم کرنے، ریموٹ فائلوں کو ڈاؤن لوڈ کرنے، اور نیٹ ورکس کے اندر سرنگ کو ریورس کرنے کے لیے کامیابی سے نشانہ بنایا اور ان کا استحصال کیا،" Qualys Threat Research Unit کے سائبر تھریٹ ڈائریکٹر کین ڈنھم کہتے ہیں، جو خبردار کرتے ہیں۔ Ivanti کے صارفین اپنے صارفین، شراکت داروں اور سپلائرز پر سپلائی چین حملوں کی تلاش میں رہیں۔ "آئیونٹی کو ممکنہ طور پر اس فعالیت اور فن تعمیر کی وجہ سے نشانہ بنایا گیا ہے جو یہ اداکاروں کو فراہم کرتا ہے، اگر سمجھوتہ کیا جائے تو، نیٹ ورکنگ اور VPN حل کے طور پر، نیٹ ورکس اور دلچسپی کے بہاو والے اہداف میں۔"

ان ٹولز کے علاوہ، مینڈینٹ محققین نے ایسی سرگرمی کو جھنڈا لگایا جو آئیونٹی کی ابتدائی اسٹاپ گیپ کم کرنے کی تکنیک کے لیے بائی پاس کا استعمال کرتی ہے، جس کی تفصیل اصل ایڈوائزری میں ہے۔ ان حملوں میں، نامعلوم سائبر حملہ آور "Bushwalk" نامی ایک حسب ضرورت سائبر جاسوسی ویب شیل تعینات کر رہے ہیں، جو سرور پر فائلوں کو پڑھ یا لکھ سکتا ہے۔

محققین کے مطابق، "سرگرمی انتہائی ٹارگٹڈ، محدود، اور پوسٹ ایڈوائزری بڑے پیمانے پر استحصال کی سرگرمی سے مختلف ہے،" جنہوں نے محافظوں اور YARA کے قوانین کے لیے سمجھوتہ (IoCs) کے وسیع اشارے بھی فراہم کیے ہیں۔

Ivanti اور CISA نے تخفیف کی تازہ ترین رہنمائی جاری کی۔ کل کہ تنظیموں کو درخواست دینا چاہئے.

دو تازہ ہائی سیوریٹی صفر ڈے کیڑے

تین ہفتے پرانے کیڑے کے لیے پیچ تیار کرنے کے علاوہ، Ivanti نے اسی ایڈوائزری میں دو نئے CVEs کے لیے اصلاحات بھی شامل کیں۔ وہ ہیں:

  • CVE-2024-21888 (CVSS سکور: 8.8): Ivanti Connect Secure اور Ivanti Policy Secure کے ویب جزو میں استحقاق میں اضافے کا خطرہ، سائبر حملہ کرنے والوں کو ایڈمنسٹریٹر کی مراعات حاصل کرنے کی اجازت دیتا ہے۔

  • CVE-2024-21893 (CVSS سکور: 8.2): Ivanti Connect Secure، Ivanti Policy Secure، اور Ivanti Neurons کے ZTA کے SAML جزو میں سرور کی طرف سے درخواست کی جعلسازی کا خطرہ، سائبر حملہ آوروں کو "مخصوص محدود وسائل" تک رسائی کی اجازت دیتا ہے۔

جنگلی میں صرف مؤخر الذکر کے استحصال ہی گردش کر رہے ہیں، اور ایونٹی کی ایڈوائزری کے مطابق سرگرمی "ہدف بنتی دکھائی دیتی ہے"، لیکن اس نے مزید کہا کہ تنظیموں کو "یہ معلومات عام ہونے کے بعد استحصال میں تیزی سے اضافے کی توقع کرنی چاہیے - جیسا کہ ہم نے مشاہدہ کیا ہے۔ 11 جنوری کے انکشاف کے بعد 10 جنوری کو۔

Qualys TRU's Dunham کا کہنا ہے کہ APTs سے زیادہ حملوں کی توقع ہے: "متعدد اداکار خطرے کے استحصال کے مواقع سے فائدہ اٹھا رہے ہیں اس سے پہلے کہ تنظیموں کے حملے کے خلاف پیچیدگی اور سختی آئیوانٹی کو قومی ریاستی اداکاروں اور اب ممکنہ طور پر دوسروں کے ذریعہ ہتھیار بنایا گیا ہے — اس پر آپ کی توجہ ہونی چاہئے اور پیچ کو ترجیح، اگر آپ پیداوار میں کمزور ورژن استعمال کر رہے ہیں۔"

محققین نے یہ بھی خبردار کیا ہے کہ کسی سمجھوتے کا نتیجہ تنظیموں کے لیے خطرناک ہو سکتا ہے۔

کیپر سیکیورٹی میں سیکیورٹی اور فن تعمیر کے نائب صدر پیٹرک ٹیکیٹ کہتے ہیں، "یہ [نئی] Ivanti ہائی سیکیورٹی کی خامیاں سنگین ہیں [اور خاص طور پر حملہ آوروں کے لیے قابل قدر]، اور انہیں فوری طور پر ٹھیک کیا جانا چاہیے۔" "یہ کمزوریاں، اگر ان کا استحصال کیا جائے تو، حساس نظاموں تک غیر مجاز رسائی فراہم کر سکتے ہیں اور پورے نیٹ ورک سے سمجھوتہ کر سکتے ہیں۔"

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا