Νέα επίθεση Κινέζων χάκερ στο Ivanti VPN: Ανακαλύφθηκαν νέα ελαττώματα ασφαλείας

Τα πρόσφατα ανακαλυφθέντα ελαττώματα ασφαλείας του Ivanti VPN εξακολουθούν να υφίστανται κατάχρηση, ισχυρίζονται οι ερευνητές – με τους Κινέζους χάκερ να εκμεταλλεύονται τώρα τα τρωτά σημεία για να αναπτύξουν όλα τα είδη κακόβουλου λογισμικού.

Ερευνητές κυβερνοασφάλειας από τη

Mandiant

που ανήκει στην Google ισχυρίστηκαν ότι ο κινεζικός όμιλος UNC5325 χρησιμοποιεί έναν συνδυασμό τεχνικών που ζουν εκτός της γης για να αποτρέψει τον εντοπισμό του στις συσκευές, καθώς απορρίπτει νέο κακόβουλο λογισμικό.

Αυτό το κακόβουλο λογισμικό, υποστηρίζουν οι ερευνητές, μπορεί να επιβιώσει από επαναφορές εργοστασιακών ρυθμίσεων,

αναβαθμίσεις

συστήματος και ενημερώσεις κώδικα.

Μη υποστηριζόμενο λειτουργικό σύστημα και άλλα προβλήματα

Προκειμένου να το επιτύχουν, οι Κινέζοι χάκερ απέκτησαν μια «λεπτή κατανόηση» και «σημαντική γνώση» της συσκευής Ivanti Connect Secure. Οι χρήστες θα πρέπει «να αναλάβουν

αμέσως

δράση για να εξασφαλίσουν προστασία εάν δεν το έχουν κάνει ήδη», λέει ο Mandiant, υποδεικνύοντας τους χρήστες προς την κατεύθυνση της τελευταίας έκδοσης του Ivanti.

συμβουλευτική για την ασφάλεια

.

Επιπλέον, οι χρήστες θα πρέπει να χρησιμοποιούν τον νέο εξωτερικό έλεγχο ακεραιότητας της Ivanti, καθώς και τον ενημερωμένο Οδηγό Hardening της Mandiant.

Οι ερευνητές είπαν επίσης ότι υπάρχει πιθανότητα ένας δεύτερος παράγοντας απειλής, ο οποίος παρακολουθείται ως UNC3886, επίσης να πηδήξει στο συγκρότημα. Ενώ ορισμένες αναφορές θέτουν αυτόν τον παράγοντα απειλής υπό τις διαταγές της κινεζικής κυβέρνησης, άλλες υποστηρίζουν ότι το UNC5325 και το UNC3886 είναι η ίδια οντότητα.

Στις αρχές Ιανουαρίου 2024, η Ivanti ανέφερε ότι ανακάλυψε και επιδιορθώνει μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) σε ένα από τα προϊόντα της, η οποία θα μπορούσε να έχει επιτρέψει στους παράγοντες απειλών να απορρίψουν όλα τα είδη κακόβουλου λογισμικού. Αμέσως μετά, ξέσπασε όλη η κόλαση για τον Ivanti, καθώς αργότερα ανακάλυψε μια χούφτα πρόσθετων τρωτών σημείων, τα οποία άρχισαν να εκμεταλλεύονται σε μαζική κλίμακα, από παράγοντες απειλών από όλο τον κόσμο.

Η επακόλουθη έρευνα αποκάλυψε ότι ο Ivanti χρησιμοποίησε το CentOS 6.4. λειτουργικό σύστημα για τα προϊόντα της, το οποίο δεν υποστηριζόταν για χρόνια σε εκείνο το σημείο:

“Το Pulse Secure εκτελεί μια έκδοση 11 ετών του

Linux

που δεν υποστηρίζεται από τον Νοέμβριο του 2020”, ανέφεραν αναλυτές ασφαλείας από το Eclypsium σε μια έκθεση που αναλύει την έκδοση υλικολογισμικού 9.1.18.2-24467.1.

Στις αρχές Φεβρουαρίου, η

κυβέρνηση των ΗΠΑ

είπε στις υπηρεσίες της που χρησιμοποιούν το Ivanti Connect Secure και το Ivanti Policy Secure να αποσυνδέσουν αμέσως αυτές τις λύσεις και να μην τις ενεργοποιήσουν ξανά έως ότου βεβαιωθούν ότι έχουν επιδιορθωθεί σωστά και ότι τα δίκτυά τους έχουν απολυμανθεί από πιθανές εισβολές χάκερ. .

Τα patches που κυκλοφόρησε το Ivanti είναι αποτελεσματικά, αλλά μόνο εάν εφαρμόστηκαν πριν από οποιαδήποτε εισβολή. Εάν ένας παράγοντας απειλής διαπίστωσε επιμονή σε ένα τελικό σημείο εκ των προτέρων, η εφαρμογή της επιδιόρθωσης δεν θα βοηθήσει.