Platoni andmete intelligentsus.
Vertikaalne otsing ja Ai.

Küberturvalisus

Rohkem Ivanti VPN Zero-Days Fuel Attack Frenzy kui plaastrid lõpuks veerevad

Taasesitanud Platon
Taasesitanud Platon

kuupäev:

Vaadatud: 0

Ivanti on lõpuks alustanud oma Connect Secure VPN-seadmetes 10. jaanuaril avalikustatud nullpäeva turvaaukude parandamist. Siiski teatas ta täna ka kahest täiendavast veast platvormis, CVE-2024-21888 ja CVE-2024-21893 – viimast kasutatakse ka looduses aktiivselt.

Ivanti on välja andnud oma esimese plaastrite ringi algse nullpäevade komplekti jaoks (CVE-2024-21887 ja CVE-2023-46805), kuid ainult mõne versiooni puhul; Täiendavad parandused võetakse lähinädalatel kasutusele järk-järgult, teatas ettevõte oma täna uuendatud nõuandes. Vahepeal on Ivanti pakkunud leevendust, et paigatamata organisatsioonid peaksid viivitamatult taotlema, et vältida ohvriks langemist. massiline ärakasutamine Hiina riiklikult toetatud osalejate poolt ja rahaliselt motiveeritud küberkurjategijad.

Mitu kohandatud pahavara ankru andmevarguse rünnakut

Et ekspluateerimine jätkub lakkamatult. Mandianti sõnul on Hiina toetatud arenenud püsiv oht (APT), mida nimetatakse UNC5221-ks, olnud paljude ekspluateerimiste taga juba detsembri alguses. Kuid üldiselt on tegevus märkimisväärselt tõusnud pärast seda, kui CVE-2024-21888 ja CVE-2024-21893 avalikustati jaanuaris.

“In addition to UNC5221, we acknowledge the possibility that one or more related groups may be associated with the activity,” Mandiant researchers said in Ivanti küberrünnakute analüüs released today. “It is likely that additional groups beyond UNC5221 have adopted one or more of [the] tools [associated with the compromises].”

Selle hetkeni väljastas Mandiant lisateavet pahavara tüüpide kohta, mida UNC5221 ja teised osalejad kasutavad Ivanti Connecti turvaliste VPN-ide rünnakutes. Siiani on looduses vaadeldud implantaatide hulgas:

  • LightWire'i veebikesta variant, mis sisestab end VPN-lüüsi seaduslikku komponenti ja millel on nüüd erinev hägustamisrutiin.

  • Two UNC5221 custom Web shells, called “ChainLine” and “FrameSting,” which are backdoors embedded in Ivanti Connect Secure Python packages that enable arbitrary command execution.

  • ZipLine, passiivne tagauks, mida kasutab UNC5221 ja mis kasutab käsu- ja juhtimisega (C2) side loomiseks kohandatud krüptitud protokolli. Selle funktsioonid hõlmavad failide üles- ja allalaadimist, pöördkestat, puhverserverit ja tunneliserverit.

  • WarpWire'i mandaadivarguse pahavara uued variandid, mis varastavad lihttekstina kasutatavaid paroole ja kasutajanimesid, et neid kõvakodeeritud C2 serverisse eksfiltreerida. Mandiant ei omista kõiki variante UNC5221-le.

  • Ja mitmed avatud lähtekoodiga tööriistad, mis toetavad ärakasutamisjärgseid tegevusi, nagu sisevõrgu luure, külgsuunaline liikumine ja andmete väljafiltreerimine piiratud arvu ohvrite keskkondades.

“Nation-state actors UNC5221 have successfully targeted and exploited vulnerabilities in Ivanti to steal configuration data, modify existing files, download remote files, and reverse tunnel within networks,” says Ken Dunham, cyber-threat director at Qualys Threat Research Unit, who warns Ivanti users to be on the lookout for supply chain attacks on their customers, partners, and suppliers. “Ivanti is likely targeted due [to] the functionality and architecture it provides actors, if compromised, as a networking and VPN solution, into networks and downstream targets of interest.”

In addition to these tools, Mandiant researchers flagged activity that uses a bypass for Ivanti’s initial stopgap mitigation technique, detailed in the original advisory; in these attacks, unknown cyberattackers are deploying a custom cyber-espionage Web shell called “Bushwalk,” which can read or write to files to a server.

“The activity is highly targeted, limited, and is distinct from the post-advisory mass exploitation activity,” according to the researchers, who also provided extensive indicators of compromise (IoCs) for defenders, and YARA rules.

Ivanti ja CISA avaldasid uuendatud leevendusjuhised eile, et organisatsioonid peaksid kandideerima.

Kaks värsket väga tõsist nullpäeva viga

Lisaks kolme nädala vanuste vigade paikade väljalaskmisele lisas Ivanti samasse nõuandesse ka kahe uue CVE parandused. Nemad on:

  • CVE-2024-21888 (CVSS skoor: 8.8): õiguste eskalatsiooni haavatavus Ivanti Connect Secure'i ja Ivanti Policy Secure'i veebikomponendis, mis võimaldab küberründajatel omandada administraatoriõigusi.

  • CVE-2024-21893 (CVSS score: 8.2): A server-side request forgery vulnerability in the SAML component of Ivanti Connect Secure, Ivanti Policy Secure, and Ivanti Neurons for ZTA, allowing cyberattackers to access “certain restricted resources without authentication.”

Only exploits for the latter have circulated in the wild, and the activity “appears to be targeted,” according to Ivanti’s advisory, but it added that organizations should “expect a sharp increase in exploitation once this information is public — similar to what we observed on 11 January following the 10 January disclosure.”

Qualys TRU’s Dunham says to expect attacks from more than just APTs: “Multiple actors are taking advantage of vulnerability exploitation opportunities prior to organizations patching and hardening against attack Ivanti is weaponized by nation-state actors and now likely others — it should have your attention and priority to patch, if you’re using vulnerable versions in production.”

Teadlased hoiatavad ka, et kompromissi tulemus võib olla organisatsioonidele ohtlik.

“These [new] Ivanti high-security flaws are serious [and particularly valuable for attackers], and should be patched immediately,” says Patrick Tiquet, vice president of security and architecture at Keeper Security. “These vulnerabilities, if exploited, can grant unauthorized access to sensitive systems and compromise an entire network.”

spot_img

Uusim intelligentsus

spot_img

Autoriõigus @ 2024 Plato Technologies Inc.

Jututuba koos meiega

Tere! Kuidas ma teid aidata saan?