Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) αποκάλυψε σήμερα ότι οι επιτιθέμενοι που παραβίασαν τις συσκευές Ivanti χρησιμοποιώντας ένα από τα πολλαπλά τρωτά σημεία που έχουν εκμεταλλευτεί ενεργά μπορούν να διατηρήσουν τη διατήρηση του root ακόμα και μετά την εκτέλεση επαναφοράς εργοστασιακών ρυθμίσεων.
Επιπλέον, μπορούν επίσης να αποφύγουν τον εντοπισμό από το εσωτερικό και εξωτερικό Εργαλείο Έλεγχου Ακεραιότητας (ICT) της Ivanti στις πύλες Ivanti Connect Secure και Policy Secure που έχουν παραβιαστεί χρησιμοποιώντας
CVE-2023-46805
,
CVE-2024-21887
,
CVE-2024-22024
και
CVE-2024-21893
κατορθώματα.
Οι βαθμολογίες σοβαρότητας των τεσσάρων τρωτών σημείων κυμαίνονται από υψηλή έως κρίσιμη και μπορούν να χρησιμοποιηθούν για παράκαμψη ελέγχου
ταυτότητα
ς, ένεση εντολών, πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή και εκτέλεση αυθαίρετων εντολών.
Η CISA διαπίστωσε ότι το Ivanti ICT απέτυχε να εντοπίσει συμβιβασμούς κατά τη διερεύνηση πολλών περιστατικών hacking που αφορούσαν παραβιασμένες συσκευές Ivanti. Αυτό συνέβη επειδή τα κελύφη Ιστού που βρέθηκαν σε συστήματα δεν είχαν αναντιστοιχίες αρχείων, σύμφωνα με το ICT του Ivanti.
Επιπλέον, η ιατροδικαστική ανάλυση αποκάλυψε ότι οι εισβολείς κάλυψαν τα ίχνη τους αντικαθιστώντας αρχεία, αρχεία χρονικής μέτρησης και επανατοποθετώντας το διαμέρισμα χρόνου εκτέλεσης για να επαναφέρουν την παραβιασμένη
συσκευή
σε “καθαρή κατάσταση”.
Αυτό δείχνει ότι οι σαρώσεις ICT δεν είναι πάντα αξιόπιστες για τον εντοπισμό προηγούμενων συμβιβασμών και μπορούν να δημιουργήσουν μια ψευδή αίσθηση ασφάλειας ότι η συσκευή είναι απαλλαγμένη από οποιονδήποτε συμβιβασμό, σύμφωνα με την CISA.
Επιπλέον, η αμερικανική υπηρεσία κυβερνοασφάλειας θα μπορούσε ανεξάρτητα να επιβεβαιώσει σε ένα εργαστήριο δοκιμών ότι χρειάζονται περισσότερα από τις ΤΠΕ της Ivanti για να ανιχνευθεί επαρκώς ο συμβιβασμός, καθώς οι φορείς απειλών ενδέχεται να αποκτήσουν εμμονή σε επίπεδο ρίζας μεταξύ των εργοστασιακών επαναφορών.
“Κατά τη διάρκεια πολλαπλών δεσμεύσεων απόκρισης συμβάντων που σχετίζονται με αυτήν τη δραστηριότητα, η CISA εντόπισε ότι οι εσωτερικές και προηγούμενες εξωτερικές ΤΠΕ του Ivanti απέτυχαν να εντοπίσουν συμβιβασμούς.”
προειδοποίησε η CISA
την Πέμπτη.
«Επιπλέον, η CISA διεξήγαγε ανεξάρτητη έρευνα σε εργαστηριακό περιβάλλον επικυρώνοντας ότι το Ivanti ICT δεν επαρκεί για τον εντοπισμό συμβιβασμού και ότι
ένας
παράγοντας απειλής στον κυβερνοχώρο μπορεί να είναι σε θέση να αποκτήσει επιμονή σε επίπεδο root παρά την έκδοση επαναφορών εργοστασιακών ρυθμίσεων».
CISA: “Σκεφτείτε τον σημαντικό κίνδυνο”
Σήμερα, ανταποκρινόμενη στη συμβουλή της CISA, ο Ivanti είπε ότι οι απομακρυσμένοι εισβολείς που προσπαθούν να αποκτήσουν επιμονή root σε μια συσκευή Ivanti χρησιμοποιώντας τη μέθοδο που βρήκε η CISA θα χάσουν τη σύνδεση με τη συσκευή Ivanti Connect Secure.
“Η Ivanti και οι συνεργάτες μας ασφαλείας δεν γνωρίζουν περιπτώσεις επιτυχούς επιμονής του παράγοντα απειλής μετά την εφαρμογή των ενημερώσεων ασφαλείας και των επαναφορών εργοστασιακών ρυθμίσεων (υλισμικό) / νέας έκδοσης (εικονική) που προτείνει ο Ivanti,” Ivanti
είπε
.
Παρά τις διαβεβαιώσεις της εταιρείας, η CISA προέτρεψε όλους τους πελάτες της Ivanti σήμερα να “
εξετάστε τον σημαντικό κίνδυνο
πρόσβασης αντιπάλου και επιμονής στις πύλες Ivanti Connect Secure και Ivanti Policy Secure όταν
αποφασίζει εάν θα συνεχίσει να λειτουργεί
αυτές οι συσκευές σε εταιρικό περιβάλλον” [
CISA’s emphasis
].
Με άλλα λόγια, η CISA προειδοποιεί ότι μπορεί να μην είναι ακόμα ασφαλές να χρησιμοποιείτε συσκευές Ivanti που είχαν υποστεί βλάβη στο παρελθόν, ακόμη και μετά τον καθαρισμό και την επαναφορά εργοστασιακών ρυθμίσεων.
Την 1η Φεβρουαρίου, ως απάντηση στην «ουσιαστική απειλή» και τον αυξημένο κίνδυνο παραβιάσεων της ασφάλειας από τις παραβιασμένες συσκευές Ivanti VPN, η CISA διέταξε όλες τις ομοσπονδιακές υπηρεσίες να αποσυνδέσουν όλες τις περιπτώσεις Ivanti Connect Secure και Ivanti Policy Secure από τα δίκτυά τους εντός 48 ωρών.
Οι υπηρεσίες είχαν εντολή να εξάγουν διαμορφώσεις,
επαναφέρετέ τα εργοστασιακά
ανακατασκευάστε τα χρησιμοποιώντας ενημερωμένες εκδόσεις λογισμικού που κυκλοφόρησε η Ivanti, εισαγάγετε ξανά τις παραμέτρους που έχουν δημιουργηθεί αντίγραφα ασφαλείας και ανακαλέστε όλα τα συνδεδεμένα ή εκτεθειμένα πιστοποιητικά, κλειδιά και κωδικούς πρόσβασης για να μπορέσετε να επαναφέρετε τις απομονωμένες συσκευές στο διαδίκτυο.
Οι ομοσπονδιακοί φορείς που βρήκαν παραβιασμένα προϊόντα Ivanti στα δίκτυά τους είπαν να υποθέσουν ότι όλοι οι συνδεδεμένοι λογαριασμοί τομέα ήταν παραβιασμένοι και να απενεργοποιήσουν τις συνδεδεμένες/εγγεγραμμένες συσκευές (σε περιβάλλοντα
cloud
) ή να πραγματοποιήσουν διπλή επαναφορά κωδικού πρόσβασης για όλους τους λογαριασμούς και να ανακαλέσουν τα tickers και τα διακριτικά cloud Kerberos (στο υβριδικές ρυθμίσεις).
Παράγοντες των εθνικών κρατών έχουν εκμεταλλευτεί ορισμένες από τις ευπάθειες ασφαλείας που αναφέρει η CISA στη σημερινή συμβουλευτική ως μηδέν ημέρες προτού αξιοποιηθούν σε μεγαλύτερη κλίμακα από ένα ευρύ φάσμα παραγόντων απειλών για την απόρριψη πολλαπλών προσαρμοσμένων ποικιλιών κακόβουλου λογισμικού.
Ένα άλλο Connect Secure zero-day που παρακολουθείται ως CVE-2021-22893 χρησιμοποιήθηκε από ύποπτες κινεζικές ομάδες απειλών το 2021 για να παραβιάσουν δεκάδες κυβερνητικούς, αμυντικούς και χρηματοοικονομικούς οργανισμούς σε όλες τις Ηνωμένες Πολιτείες και την Ευρώπη.
VIA:
bleepingcomputer.com
