Μια κινεζική ομάδα κατασκοπείας βρίσκεται στα πρόθυρα ανάπτυξης κακόβουλου λογισμικού που μπορεί να παραμείνει σε συσκευές Ivanti edge ακόμα και μετά από ενημερώσεις κώδικα, αναβαθμίσεις και επαναφορά εργοστασιακών ρυθμίσεων.
Όταν βρέχει βρέχει, και για τους πελάτες του Ivanti βρέχει μήνες τώρα. Στο διάστημα από τότε που αποκάλυψε η εταιρεία δύο ευπάθειες υψηλού κινδύνου που επηρεάζει τις πύλες Connect Secure, Policy Secure και Zero Trust Access (ZTA) (σε εκείνο το σημείο, περισσότερες από πέντε εβδομάδες μετά από πρώιμα καταγεγραμμένα exploits στη φύση), εμφανίστηκαν άλλα δύο σφάλματα, και μετά ένα πέμπτο. Οι επιτιθέμενοι έχουν εκμεταλλευτεί σε τέτοιο βαθμό που, τουλάχιστον εντός της αμερικανικής κυβέρνησης, οι υπηρεσίες έλαβαν εντολή να κόψουν εντελώς το καλώδιο προϊόντα Ivanti.
Κάποτε καθυστερημένα patches άρχισαν τελικά να κυκλοφορούν στα τέλη Ιανουαρίου, αλλά οι επηρεαζόμενοι πελάτες δεν έχουν βγει ακόμα από το δάσος. Έρευνα που δημοσιεύτηκε από τη Mandiant αυτή την εβδομάδα υποδεικνύει ότι υψηλού επιπέδου Κινέζοι χάκερ συνεχίζουν να εξαπατούν τον Ivanti όσο αξίζει, αναπτύσσοντας νέες και πιο προηγμένες μεθόδους εισβολής, μυστικότητας και επιμονής.
Μία ομάδα, την οποία η Mandiant παρακολουθεί ως UNC5325 — και συνεργάζεται με το UNC3886 — έχει χρησιμοποιήσει τεχνικές live-off-the-land (LotL) για να παρακάμψει τις άμυνες των πελατών και απέχει μόλις μια τρίχα από την ανάπτυξη κακόβουλου λογισμικού ικανού να παραμένει σε παραβιασμένες συσκευές παρά τις ενημερώσεις κώδικα ή ακόμη και τις πλήρεις επαναφορές.
UNC5325 Ανεβάζει την απειλή στον Ιβάντι
Τα ελαφρυντικά του Ivanti απλά δεν ήταν αρκετά για να σταματήσουν τους επιτιθέμενούς του.
Το UNC5325 πραγματοποιούσε επιθέσεις τον Ιανουάριο και τον Φεβρουάριο, παρακάμπτοντας τους μετριασμούς της εταιρείας εκμεταλλευόμενος μια ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF) στο στοιχείο Security Assertion Markup Language (SAML) των συσκευών του. Το CVE-2024-21893, όπως ονομάστηκε αργότερα, κέρδισε μια «υψηλή» βαθμολογία 8.2 στα 10 στην κλίμακα CVSS και η ομάδα παρατηρήθηκε να την αλυσοδένει με την ευπάθεια έγχυσης προηγούμενης εντολής του Ivanti, CVE-2024-21887.
Με αυτό το συνεχές παράθυρο σε ευάλωτες συσκευές, η ομάδα πραγματοποίησε αναγνώριση κατά των στόχων της, τροποποίησε τις ρυθμίσεις της συσκευής για να κρύψει τη δραστηριότητά της, χρησιμοποίησε εργαλεία ανοιχτού κώδικα όπως αλληλεπίδραση και Kubo Injector, και ανέπτυξε μια σειρά από προσαρμοσμένες κερκόπορτες: LittleLamb. WoolTea, PitStop, Pitdog, PitJet και PitHook.
Ορισμένα από αυτά τα εργαλεία και τα μέτρα ήταν ιδιαίτερα έξυπνα, όπως οι μηχανισμοί μυστικότητας που είναι ενσωματωμένοι στο Bushwalk, ένα κέλυφος Web UNC5325 που βασίζεται σε Perl που ενσωματώνεται σε ένα νόμιμο στοιχείο του Ivanti Secure Connect. Ανακαλύφθηκε για πρώτη φορά στη φύση λίγες ώρες μετά την αρχική αποκάλυψη του CVE-2024-21893.
Για να κρύψουν το Bushwalk, οι χάκερ το τοποθετούν σε έναν φάκελο που εξαιρείται από το Εργαλείο Έλεγχου Ακεραιότητας (ICT) της συσκευής και τροποποιούν μια λειτουργική μονάδα Perl που τους επιτρέπει να την ενεργοποιούν ή να την απενεργοποιούν ανάλογα με τον παράγοντα χρήστη του εισερχόμενου αιτήματος HTTP. Αυτό το τελευταίο μέτρο τους επιτρέπει να επωφεληθούν από μια μικρή ασυμφωνία στις ΤΠΕ.
«Το εσωτερικό ICT έχει ρυθμιστεί να λειτουργεί σε διαστήματα δύο ωρών από προεπιλογή και προορίζεται να εκτελείται σε συνδυασμό με συνεχή παρακολούθηση. Τυχόν κακόβουλες τροποποιήσεις του συστήματος αρχείων που πραγματοποιούνται και επαναφέρονται μεταξύ των διαστημάτων σάρωσης των δύο ωρών δεν θα εντοπίζονται από το ICT. Όταν οι ρουτίνες ενεργοποίησης και απενεργοποίησης εκτελούνται με διακριτικότητα σε γρήγορη διαδοχή, μπορεί να ελαχιστοποιηθεί ο κίνδυνος ανίχνευσης ICT ρυθμίζοντας τη ρουτίνα ενεργοποίησης να συμπίπτει ακριβώς με την προβλεπόμενη χρήση του webshell BUSHWALK», εξήγησαν οι συγγραφείς.
Επικείμενοι Μηχανισμοί Εμμονής
Το μεγαλύτερο φάσμα που απειλεί τους πελάτες της Ivanti είναι τα τελευταία πειράματα του UNC5325 με επιμονή.
Σε σπάνιες περιπτώσεις μετά την εκμετάλλευση του CVE-2024-21893, η ομάδα προσπάθησε να οπλίσει ένα νόμιμο στοιχείο του Connect Secure που ονομάζεται "SparkGateway". Το SparkGateway ενεργοποιεί πρωτόκολλα απομακρυσμένης πρόσβασης μέσω ενός προγράμματος περιήγησης και, κυρίως, η λειτουργικότητά του μπορεί να επεκταθεί μέσω πρόσθετων.
Σε αυτήν την περίπτωση, κακόβουλα πρόσθετα. Το Pitfuel, για παράδειγμα, είναι ένα πρόσθετο SparkGateway που χρησιμοποιεί η ομάδα για τη φόρτωση του κοινόχρηστου αντικειμένου LittleLamb.WoolTea, του οποίου η δουλειά είναι να αναπτύσσει backdoors. Το LittleLamb.WoolTea αυτοκατασκευάζεται για να λειτουργεί με συνέπεια στο παρασκήνιο της συσκευής και περιέχει πολλαπλές λειτουργίες και στοιχεία που έχουν σχεδιαστεί για να επιτρέπουν την παραμονή σε όλες τις αναβαθμίσεις συστήματος, τις ενημερώσεις κώδικα και τις επαναφορές εργοστασιακών ρυθμίσεων.
Μέχρι στιγμής, το κακόβουλο λογισμικό δεν το επιτυγχάνει αυτό λόγω ενός απλού σφάλματος αναντιστοιχίας των κλειδιών κρυπτογράφησης.
Επειδή οι κινέζοι παράγοντες απειλών συνεχίζουν να δείχνουν ενδιαφέρον για τα τρωτά σημεία του Ivanti, η Mandiant προτρέπει τους πελάτες «να λάβουν άμεσα μέτρα για να εξασφαλίσουν προστασία, εάν δεν το έχουν κάνει ήδη». Μια νέα έκδοση των ΤΠΕ που μπορεί να βοηθήσει στον εντοπισμό αυτών των πιο πρόσφατων προσπαθειών επιμονής είναι τώρα διαθέσιμη.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint-security/chinese-apt-exploits-defeat-patched-ivanti-users
