Ivanti cuối cùng đã bắt đầu vá một cặp lỗ hổng bảo mật zero-day được tiết lộ vào ngày 10 tháng 2024 trong các thiết bị Connect Secure VPN của mình. Tuy nhiên, hôm nay nó cũng đã công bố thêm hai lỗi trong nền tảng, CVE-21888-2024 và CVE-21893-XNUMX – lỗi sau cũng đang được khai thác tích cực trên thực tế.
Ivanti đã phát hành đợt vá lỗi đầu tiên đối với tập hợp ngày 0 ban đầu (CVE-2024-21887 và CVE-2023-46805) nhưng chỉ dành cho một số phiên bản; Các bản sửa lỗi bổ sung sẽ được tung ra theo lịch trình so le trong những tuần tới, công ty cho biết trong lời khuyên cập nhật hôm nay. Trong khi đó, Ivanti đã đưa ra một biện pháp giảm thiểu mà các tổ chức chưa được vá lỗi nên áp dụng ngay lập tức để tránh trở thành nạn nhân của lỗ hổng này. bóc lột hàng loạt bởi các tác nhân được nhà nước Trung Quốc bảo trợ và tội phạm mạng có động cơ tài chính như nhau.
Nhiều phần mềm độc hại tùy chỉnh cố định các cuộc tấn công đánh cắp dữ liệu
Đó sự bóc lột tiếp tục không suy giảm. Theo Mandiant, một mối đe dọa dai dẳng (APT) nâng cao do Trung Quốc hậu thuẫn mà nó gọi là UNC5221 đã đứng đằng sau hàng loạt hoạt động khai thác từ đầu tháng 2024. Nhưng hoạt động nói chung đã tăng lên đáng kể kể từ khi CVE-21888-2024 và CVE-21893-XNUMX được công bố vào đầu tháng XNUMX.
“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in phân tích tấn công mạng của Ivanti released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”
Đến thời điểm đó, Mandiant đã đưa ra thông tin bổ sung về các loại phần mềm độc hại mà UNC5221 và các tác nhân khác đang sử dụng trong các cuộc tấn công vào Ivanti Connect Secure VPN. Cho đến nay, các thiết bị cấy ghép mà họ quan sát được trong tự nhiên bao gồm:
-
Một biến thể của LightWire Web shell tự chèn vào một thành phần hợp pháp của cổng VPN, giờ đây có quy trình làm rối mã nguồn khác.
-
Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.
-
ZipLine, một cửa sau thụ động được UNC5221 sử dụng, sử dụng giao thức mã hóa, tùy chỉnh để thiết lập liên lạc bằng lệnh và điều khiển (C2). Các chức năng của nó bao gồm tải lên và tải xuống tệp, shell đảo ngược, máy chủ proxy và máy chủ đường hầm.
-
Các biến thể mới của phần mềm độc hại đánh cắp thông tin xác thực WarpWire, đánh cắp mật khẩu và tên người dùng văn bản gốc để lọc sang máy chủ C2 được mã hóa cứng. Mandiant không quy tất cả các biến thể cho UNC5221.
-
Và nhiều công cụ nguồn mở để hỗ trợ các hoạt động sau khai thác như trinh sát mạng nội bộ, di chuyển ngang và lấy cắp dữ liệu trong một số môi trường nạn nhân hạn chế.
“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”
In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.
“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.
Ivanti và CISA đưa ra hướng dẫn giảm thiểu cập nhật ngày hôm qua mà tổ chức nên áp dụng.
Hai lỗi Zero-Day có mức độ nghiêm trọng cao mới
Ngoài việc tung ra các bản vá cho các lỗi đã tồn tại ba tuần, Ivanti còn bổ sung các bản sửa lỗi cho hai CVE mới vào cùng một lời khuyên. Họ đang:
-
CVE-2024-21888 (điểm CVSS: 8.8): Lỗ hổng leo thang đặc quyền trong thành phần Web của Ivanti Connect Secure và Ivanti Policy Secure, cho phép kẻ tấn công mạng giành được đặc quyền của quản trị viên.
-
CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”
Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”
Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”
Các nhà nghiên cứu cũng cảnh báo rằng kết quả của sự thỏa hiệp có thể gây nguy hiểm cho các tổ chức.
“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling
- : có
- :là
- :không phải
- $ LÊN
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- truy cập
- Theo
- công nhận
- hoạt động
- hoạt động
- hoạt động
- diễn viên
- thêm
- Ngoài ra
- thêm vào
- thông tin bổ sung
- con nuôi
- tiên tiến
- Mối đe dọa liên tục nâng cao
- Lợi thế
- cố vấn
- chống lại
- như nhau
- Tất cả
- Cho phép
- Ngoài ra
- an
- Neo
- và
- công bố
- xuất hiện
- thiết bị
- Đăng Nhập
- APT
- tùy ý
- kiến trúc
- LÀ
- AS
- liên kết
- At
- tấn công
- Các cuộc tấn công
- sự chú ý
- Xác thực
- tránh
- trở lại
- cửa sau
- Backdoors
- BE
- được
- đã bắt đầu
- sau
- Ngoài
- lỗi
- nhưng
- by
- bỏ qua
- gọi là
- Cuộc gọi
- CAN
- nhất định
- chuỗi
- Trung Quốc
- Vòng tròn
- CISA
- đến
- những tuần sắp tới
- Truyền thông
- công ty
- thành phần
- thỏa hiệp
- Thỏa hiệp
- Cấu hình
- Kết nối
- liên tiếp
- khách hàng
- khách hàng
- Tấn công mạng
- tội phạm mạng
- Nguy hiểm
- dữ liệu
- Tháng mười hai
- Hậu vệ
- triển khai
- chi tiết
- khác nhau
- Giám đốc
- công bố thông tin
- khác biệt
- làm
- tải về
- hai
- Sớm hơn
- Đầu
- nhúng
- cho phép
- mã hóa
- Toàn bộ
- môi trường
- leo thang
- thành lập
- Ether (ETH)
- thực hiện
- sự lọc ra
- hiện tại
- mong đợi
- khai thác
- khai thác
- khai thác
- mở rộng
- rơi xuống
- xa
- Với
- Tập tin
- Các tập tin
- Cuối cùng
- tài chính
- Tên
- nhất định
- được gắn cờ
- sai sót
- tiếp theo
- Trong
- Frenzy
- tươi
- từ
- Nhiên liệu
- chức năng
- chức năng
- Thu được
- cửa ngõ
- Tổng Quát
- đi
- cấp
- Các nhóm
- Có
- cao
- Tuy nhiên
- HTTPS
- ICON
- if
- ngay
- in
- bao gồm
- Tăng lên
- Các chỉ số
- thông tin
- ban đầu
- Chèn
- quan tâm
- nội bộ
- trong
- Ban hành
- IT
- ITS
- chính nó
- Ngà
- Tháng
- Tháng một
- jpg
- chỉ
- hợp pháp
- Lượt thích
- Có khả năng
- Hạn chế
- thực hiện
- phần mềm độc hại
- Thánh Lễ
- Có thể..
- trong khi đó
- giảm nhẹ
- sửa đổi
- chi tiết
- động cơ
- phong trào
- nhiều
- mạng
- mạng lưới
- mạng
- Neurons
- Mới
- tại
- con số
- quan sát
- of
- on
- hàng loạt
- ONE
- có thể
- mở
- mã nguồn mở
- Cơ hội
- or
- tổ chức
- nguyên
- Nền tảng khác
- Khác
- ra
- gói
- đôi
- đặc biệt
- Đối tác
- thụ động
- Mật khẩu
- Vá
- Các bản vá lỗi
- Vá
- patrick
- Văn bản thô
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- điều luật
- khả năng
- Chủ tịch
- Trước khi
- ưu tiên
- đặc quyền
- đặc quyền
- Sản lượng
- giao thức
- cung cấp
- cung cấp
- Proxy
- công khai
- Python
- RE
- Đọc
- liên quan
- phát hành
- xa
- yêu cầu
- nghiên cứu
- nhà nghiên cứu
- Thông tin
- hạn chế
- kết quả
- đảo ngược
- Lăn
- Lăn
- tròn
- thường xuyên
- quy tắc
- s
- Nói
- tương tự
- nói
- lịch trình
- Điểm số
- an toàn
- an ninh
- nhạy cảm
- nghiêm trọng
- máy chủ
- định
- sắc nét
- Shell
- nên
- tương tự
- kể từ khi
- So
- cho đến nay
- giải pháp
- một số
- nguồn
- ăn trộm
- Thành công
- nhà cung cấp
- cung cấp
- chuỗi cung ứng
- hỗ trợ
- hệ thống
- dùng
- nhắm mục tiêu
- mục tiêu
- kỹ thuật
- hơn
- việc này
- Sản phẩm
- trộm cắp
- cung cấp their dịch
- Kia là
- họ
- điều này
- mối đe dọa
- đến
- bây giờ
- công cụ
- TRU
- đường hầm
- hai
- loại
- không được phép
- Dưới
- đơn vị
- không xác định
- cập nhật
- đã sử dụng
- Người sử dụng
- sử dụng
- sử dụng
- Quý báu
- biến thể
- phiên bản
- phó
- Phó Chủ Tịch
- nạn nhân
- VPN
- VPNs
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- Cảnh báo
- we
- web
- tuần
- là
- Điều gì
- cái nào
- CHÚNG TÔI LÀ
- Hoang dã
- sẽ
- với
- ở trong
- không có
- viết
- hôm qua
- bạn
- trên màn hình
- zephyrnet