Οι χάκερ αρχίζουν να εκμεταλλεύονται μαζικά τα ελαττώματα του Ivanti VPN zero-day
Κακόβουλοι χάκερ έχουν αρχίσει να εκμεταλλεύονται μαζικά δύο κρίσιμα τρωτά σημεία zero-day στην ευρέως χρησιμοποιούμενη εταιρική συσκευή VPN της Ivanti.
Αυτό σύμφωνα με την εταιρεία κυβερνοασφάλειας Volexity, η οποία ανέφερε για πρώτη φορά την περασμένη εβδομάδα ότι οι χάκερ που υποστηρίζονται από την Κίνα εκμεταλλεύονται τα δύο μη επιδιορθωμένα ελαττώματα του Ivanti Connect Secure —
παρακολουθείται ως CVE-2023-46805 και CVE-2024-21887
— να εισβάλουν σε δίκτυα πελατών και να κλέψουν πληροφορίες. Τότε, η Ivanti είπε ότι γνώριζε «λιγότερους από 10 πελάτες» που επηρεάστηκαν από τα ελαττώματα «zero-day», τα οποία περιγράφηκαν ως τέτοια δεδομένου ότι η Ivanti δεν είχε χρόνο να διορθώσει τα ελαττώματα προτού τα εκμεταλλευτεί.
Σε
μια ενημερωμένη ανάρτηση ιστολογίου που δημοσιεύτηκε τη Δευτέρα
η Volexity λέει ότι έχει πλέον στοιχεία μαζικής εκμετάλλευσης.
Σύμφωνα με το Volexity, περισσότερες από 1.700 συσκευές Ivanti Connect Secure σε όλο τον κόσμο έχουν αξιοποιηθεί μέχρι στιγμής, επηρεάζοντας οργανισμούς, συμπεριλαμβανομένων των βιομηχανιών αεροδιαστημικής, τραπεζών, άμυνας, κυβέρνησης και τηλεπικοινωνιών.
«Τα θύματα κατανέμονται παγκοσμίως και ποικίλλουν πολύ σε μέγεθος, από μικρές επιχειρήσεις έως μερικούς από τους μεγαλύτερους οργανισμούς στον κόσμο, συμπεριλαμβανομένων πολλών εταιρειών του Fortune 500 σε πολλούς κλάδους», δήλωσε η Volexity. Οι ερευνητές της εταιρείας ασφαλείας πρόσθεσαν ότι οι συσκευές Ivanti VPN ήταν «αδιακρίτως στοχευμένες», με εταιρικά θύματα σε όλο τον κόσμο.
Όμως η Volexity σημειώνει ότι ο αριθμός των παραβιασμένων οργανισμών είναι πιθανό να είναι πολύ μεγαλύτερος.
Μη κερδοσκοπικός ανιχνευτής απειλών ασφαλείας Shadowserver Foundation
έχει δεδομένα που δείχνουν περισσότερες από 17.000 συσκευές Ivanti VPN που είναι ορατές στο διαδίκτυο παγκοσμίως, συμπεριλαμβανομένων περισσότερων από 5.000 συσκευών στις Ηνωμένες Πολιτείες.
Ιβάντι
επιβεβαίωσε στην επικαιροποιημένη γνωμοδότησή του την Τρίτη
ότι τα δικά του ευρήματα είναι «συνεπή» με τις νέες παρατηρήσεις του Volexity και ότι οι μαζικές παραβιάσεις φαίνεται να ξεκίνησαν στις 11 Ιανουαρίου, μια ημέρα μετά την αποκάλυψη των τρωτών σημείων του Ivanti. Σε μια δήλωση που δόθηκε μέσω του πρακτορείου δημοσίων σχέσεων MikeWorldWide, ο Ivanti είπε στο TechCrunch ότι «είχε δει μια απότομη αύξηση στη δραστηριότητα των παραγόντων απειλών και στις σαρώσεις ερευνητών ασφαλείας».
Όταν έφτασε την Τρίτη, η εκπρόσωπος του Volexity, Kristel Faris είπε στο TechCrunch ότι η εταιρεία ασφαλείας βρίσκεται σε επαφή με την Ivanti, η οποία «ανταποκρίνεται σε αύξηση των αιτημάτων υποστήριξης το συντομότερο δυνατό».
Παρά τη μαζική εκμετάλλευση, ο Ivanti δεν έχει ακόμη δημοσιεύσει ενημερώσεις κώδικα. Η Ivanti είπε ότι σχεδιάζει να κυκλοφορήσει διορθώσεις σε «κλιμακωτή» βάση ξεκινώντας την εβδομάδα της 22ης Ιανουαρίου. Στο μεταξύ,
Συνιστάται στους διαχειριστές να εφαρμόζουν μέτρα μετριασμού που παρέχονται από την Ivanti
σε όλες τις επηρεαζόμενες συσκευές VPN στο δίκτυό τους. Η Ivanti συνιστά στους διαχειριστές να επαναφέρουν τους κωδικούς πρόσβασης και τα κλειδιά API και να ανακαλούν και να εκδίδουν ξανά τυχόν πιστοποιητικά που είναι αποθηκευμένα στις επηρεαζόμενες συσκευές.
Κανένα ransomware… ακόμα
Η Volexity απέδωσε αρχικά την εκμετάλλευση των δύο Ivanti zero-days σε μια ομάδα hacking που υποστηρίζεται από την Κίνα που παρακολουθεί ως UTA0178. Η Volexity είπε ότι είχε στοιχεία εκμετάλλευσης ήδη από τις 3 Δεκεμβρίου.
Mandiant, που είναι
παρακολουθεί επίσης την εκμετάλλευση των τρωτών σημείων του Ivanti
είπε ότι δεν έχει συνδέσει την εκμετάλλευση με μια προηγουμένως γνωστή ομάδα hacking, αλλά είπε ότι τα ευρήματά της – σε συνδυασμό με το Volexity – οδηγούν τη Mandiant να αποδώσει τα hacks σε «μια εκστρατεία APT με κίνητρο κατασκοπείας», υποδηλώνοντας ανάμειξη με την υποστήριξη της κυβέρνησης.
Volexity
είπε αυτή την εβδομάδα
ότι έχει δει πρόσθετες ομάδες hacking – συγκεκριμένα μια ομάδα που αποκαλεί UTA0188 – να εκμεταλλεύεται τα ελαττώματα για να θέσει σε κίνδυνο ευάλωτες συσκευές, αλλά αρνήθηκε να κοινοποιήσει πρόσθετες λεπτομέρειες σχετικά με την ομάδα – ή τα κίνητρά της – όταν ρωτήθηκε από το TechCrunch.
Η Volexity είπε στο TechCrunch ότι δεν έχει δει κανένα στοιχείο ότι το ransomware εμπλέκεται στις μαζικές εισβολές σε αυτό το σημείο. “Ωστόσο, αναμένουμε πλήρως ότι αυτό θα συμβεί εάν ο κώδικας απόδειξης ιδέας γίνει δημόσιος”, πρόσθεσε ο Faris.
Οι ερευνητές ασφάλειας έχουν
έχει ήδη επισημάνει την ύπαρξη κώδικα απόδειξης της ιδέας
ικανός να εκμεταλλευτεί τις μηδενικές ημέρες του Ιβάντι.
VIA:
techcrunch.com
