Ivanti Connect Secure zero-days τώρα υπό μαζική εκμετάλλευση

Δύο τρωτά σημεία μηδενικής ημέρας που επηρεάζουν

τι

ς συσκευές Connect Secure VPN και Policy Secure Network Access Control (NAC) της Ivanti είναι πλέον υπό μαζική εκμετάλλευση.

Όπως ανακαλύφθηκε από την εταιρεία πληροφοριών απειλών Volexity, η οποία επίσης εντόπισε για πρώτη φορά τις zero-days να χρησιμοποιούνται σε επιθέσεις από τον Δεκέμβριο, πολλαπλές ομάδες απειλών αλυσιδώνουν την παράκαμψη ελέγχου ταυτότητας CVE-2023-46805 και τα τρωτά σημεία έγχυσης εντολών CVE-2024-21887 σε εκτεταμένες επιθέσεις από τον Ιανουάριο. 11.

“Τα θύματα κατανέμονται παγκοσμίως και ποικίλλουν σε μεγάλο βαθμό, από μικρές επιχειρήσεις έως μερικούς από τους μεγαλύτερους οργανισμούς στον κόσμο, συμπεριλαμβανομένων πολλών εταιρειών του Fortune 500 σε πολλούς κλάδους.”

Το Volexity προειδοποίησε

σήμερα.

Οι επιτιθέμενοι έκαναν backdoor τα συστήματα των στόχων τους χρησιμοποιώντας μια παραλλαγή webshell GIFTEDVISITOR που βρέθηκε σε εκατοντάδες συσκευές.

“Την Κυριακή, 14 Ιανουαρίου 2024, η Volexity είχε εντοπίσει περισσότερες από 1.700 συσκευές ICS VPN που είχαν παραβιαστεί με το ιστό GIFFEDVISITOR. Αυτές οι συσκευές φαίνεται να έχουν στοχοποιηθεί αδιακρίτως, με θύματα σε όλο τον κόσμο”, δήλωσε η Volexity.

Η λίστα των θυμάτων που ανακάλυψε μέχρι στιγμής το Volexity περιλαμβάνει κυβερνητικά και στρατιωτικά τμήματα παγκοσμίως, εθνικές εταιρείες τηλεπικοινωνιών, αμυντικούς εργολάβους, εταιρείες τεχνολογίας, τραπεζικούς, χρηματοοικονομικούς και λογιστικούς οργανισμούς, παγκόσμιες συμβουλευτικές εταιρίες και εταιρείες αεροδιαστημικής, αεροπορίας και μηχανικών.

Ενώ ο Ivanti δεν έχει ακόμη κυκλοφορήσει ενημερώσεις κώδικα για αυτές τις δύο ενεργά αξιοποιημένες zero-days, οι διαχειριστές είναι

συνιστάται η εφαρμογή μέτρων μετριασμού

παρέχονται από τον προμηθευτή σε όλα τα ICS VPN στο δίκτυό τους.

Θα έπρεπε να τρέχουν και του Ιβάντι

Εργαλείο ελέγχου ακεραιότητας

και θεωρήστε όλα τα δεδομένα της

συσκευή

ς VPN ICS (συμπεριλαμβανομένων των κωδικών πρόσβασης και τυχόν μυστικών) ως παραβιασμένα εάν εντοπιστούν ενδείξεις παραβίασης, όπως περιγράφεται στην ενότητα «Απάντηση σε συμβιβασμό» του

Η προηγούμενη ανάρτηση ιστολογίου του Volexity

.

Η υπηρεσία παρακολούθησης απειλών Shadowserver παρακολουθεί αυτήν τη στιγμή

περισσότερες από 16.800 συσκευές ICS VPN

εκτίθενται στο διαδίκτυο,

σχεδόν 5.000

στις Ηνωμένες Πολιτείες (βλέπει επίσης ο Shodan

πάνω από 15.000

Ivanti ICS VPN που εκτίθενται στο

Διαδίκτυο

).

​Όπως αποκάλυψε ο Ivanti την περασμένη εβδομάδα, οι εισβολείς μπορούν να εκτελέσουν αυθαίρετες εντολές σε όλες τις υποστηριζόμενες εκδόσεις των συσκευών ICS VPN και IPS όταν συνδέουν με επιτυχία τις δύο ημέρες μηδέν.

Οι επιθέσεις έχουν πλέον κλιμακωθεί από έναν περιορισμένο αριθμό πελατών που επηρεάζονται από επιθέσεις που εκμεταλλεύονται αυτές τις ευπάθειες, με τον ύποπτο κινεζικό κρατικό παράγοντα απειλής (που παρακολουθείται ως UTA0178 ή UNC5221) να προστίθεται τώρα από πολλούς άλλους.

Όπως αποκάλυψε επίσης η Mandiant την Παρασκευή, οι ειδικοί ασφαλείας της ανακάλυψαν πέντε προσαρμοσμένα στελέχη κακόβουλου λογισμικού που αναπτύσσονται σε συστήματα πελατών που έχουν παραβιαστεί με τελικό στόχο την απόρριψη web shells, πρόσθετα κακόβουλα ωφέλιμα φορτία και την κλοπή διαπιστευτηρίων.

Η λίστα των εργαλείων που χρησιμοποιούνται στις επιθέσεις περιλαμβάνει:

• 
  Zipline Passive Backdoor
  
  : προσαρμοσμένο κακόβουλο λογισμικό που μπορεί να υποκλέψει την κυκλοφορία δικτύου, υποστηρίζει λειτουργίες μεταφόρτωσης/λήψης, δημιουργεί αντίστροφα κελύφη, διακομιστές μεσολάβησης, διοχέτευση διακομιστή
• 
  Thinspool Dropper
  
  : προσαρμοσμένο σταγονόμετρο σεναρίου κελύφους που γράφει το κέλυφος web Lightwire στο Ivanti CS, διασφαλίζοντας την επιμονή
• 
  Κέλυφος ιστού Wireire
  
  : προσαρμοσμένο κέλυφος ιστού που βασίζεται σε Python που υποστηρίζει αυθαίρετη εκτέλεση αυθαίρετων εντολών και απόρριψη ωφέλιμου φορτίου
• 
  Κέλυφος ιστού Lightwire
  
  : προσαρμοσμένο κέλυφος ιστού Perl ενσωματωμένο σε ένα νόμιμο αρχείο, επιτρέποντας την αυθαίρετη εκτέλεση εντολών
• 
  Θεριζοαλωνιστική μηχανή Warpwire
  
  : προσαρμοσμένο εργαλείο που βασίζεται σε JavaScript για τη συλλογή διαπιστευτηρίων κατά τη σύνδεση, την αποστολή τους σε έναν διακομιστή εντολών και ελέγχου (C2)
• 
  PySoxy Tunneler
  
  : διευκολύνει τη δημιουργία σήραγγας κυκλοφορίας δικτύου για μυστικότητα
• 
  BusyBox
  
  : δυαδικό πολλαπλών κλήσεων που συνδυάζει πολλά βοηθητικά προγράμματα Unix που χρησιμοποιούνται σε διάφορες εργασίες συστήματος
• 
  Βοηθητικό πρόγραμμα Thinspool
  
  (sessionserver.pl): χρησιμοποιείται για την επαναπροσάρτηση του συστήματος αρχείων ως «ανάγνωση/εγγραφή» για την ενεργοποίηση της ανάπτυξης κακόβουλου λογισμικού

Το πιο αξιοσημείωτο είναι το ZIPLINE, μια παθητική κερκόπορτα που παρεμποδίζει την εισερχόμενη κυκλοφορία δικτύου και παρέχει δυνατότητες μεταφοράς αρχείων, αντίστροφου κελύφους, διοχέτευσης σήραγγας και μεσολάβησης.

Οι ύποπτες κινεζικές ομάδες χάκερ χρησιμοποίησαν ένα άλλο ICS

zero-day

που παρακολουθείται ως CVE-2021-22893 πριν από δύο χρόνια για να παραβιάσουν δεκάδες κυβερνητικούς, αμυντικούς και χρηματοπιστωτικούς οργανισμούς των

ΗΠΑ

και της Ευρώπης.

Πέρυσι, ξεκινώντας τον Απρίλιο, δύο άλλες μηδενικές ημέρες (CVE-2023-35078 και CVE-2023-35081) στο Endpoint Manager Mobile (EPMM) του Ivanti επισημάνθηκαν ως ενεργά εκμετάλλευσης και αργότερα αναφέρθηκαν ότι χρησιμοποιήθηκαν για παραβίαση αρκετών κυβερνητικών οργανισμών της Νορβηγίας .

Ένα μήνα αργότερα, οι χάκερ άρχισαν να χρησιμοποιούν ένα τρίτο ελάττωμα μηδενικής ημέρας (CVE-2023-38035) στο λογισμικό Sentry της Ivanti για να παρακάμψουν τον έλεγχο ταυτότητας API σε ευάλωτες συσκευές σε περιορισμένες και στοχευμένες επιθέσεις.