Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) αποκάλυψε σήμερα ότι οι επιτιθέμενοι που χακάρουν τις συσκευές Ivanti VPN χρησιμοποιώντας μία από τις πολλαπλές ευπάθειες που έχουν εκμεταλλευτεί ενεργά, ενδέχεται να είναι σε θέση να διατηρήσουν την επιμονή του root ακόμα και μετά την εκτέλεση επαναφοράς εργοστασιακών ρυθμίσεων.
Επιπλέον, μπορούν επίσης να αποφύγουν τον εντοπισμό από το εσωτερικό και εξωτερικό Εργαλείο Έλεγχου Ακεραιότητας (ICT) της Ivanti στις πύλες Ivanti Connect Secure και Policy Secure που έχουν παραβιαστεί χρησιμοποιώντας
CVE-2023-46805
,
CVE-2024-21887
,
CVE-2024-22024
και
CVE-2024-21893
κατορθώματα.
Οι βαθμολογίες σοβαρότητας των τεσσάρων τρωτών σημείων κυμαίνονται από υψηλή έως κρίσιμη και μπορούν να χρησιμοποιηθούν για παράκαμψη ελέγχου
ταυτότητα
ς, ένεση εντολών, πλαστογράφηση αιτημάτων από την πλευρά του διακομιστή και εκτέλεση αυθαίρετων εντολών.
Η CISA διαπίστωσε ότι το Ivanti ICT απέτυχε να εντοπίσει συμβιβασμούς κατά τη διερεύνηση πολλών περιστατικών hacking που αφορούσαν παραβιασμένες συσκευές Ivanti. Αυτό συνέβη επειδή τα κελύφη Ιστού που βρέθηκαν σε συστήματα δεν είχαν αναντιστοιχίες αρχείων, σύμφωνα με το ICT του Ivanti.
Επιπλέον, η ιατροδικαστική ανάλυση αποκάλυψε ότι οι εισβολείς κάλυψαν τα ίχνη τους αντικαθιστώντας αρχεία, αρχεία χρονικής μέτρησης και επανατοποθετώντας το διαμέρισμα χρόνου εκτέλεσης για να επαναφέρουν την παραβιασμένη συσκευή σε “καθαρή κατάσταση”.
Αυτό δείχνει ότι οι σαρώσεις ICT δεν ήταν πάντα αξιόπιστες για τον εντοπισμό προηγούμενων συμβιβασμών και μπορούν να δημιουργήσουν μια ψευδή αίσθηση ασφάλειας ότι η συσκευή είναι απαλλαγμένη από οποιονδήποτε συμβιβασμό, σύμφωνα με την CISA. Η Ivanti κυκλοφόρησε τώρα ένα ενημερωμένο εξωτερικό εργαλείο ελέγχου ακεραιότητας για να επιλύσει τα προβλήματα στον προηγούμενο σαρωτή.
Επιπλέον, η αμερικανική υπηρεσία κυβερνοασφάλειας θα μπορούσε ανεξάρτητα να επιβεβαιώσει σε ένα εργαστήριο δοκιμών ότι χρειάζονται περισσότερα από τις ΤΠΕ της Ivanti για να ανιχνευθεί επαρκώς ο συμβιβασμός, καθώς οι φορείς απειλών ενδέχεται να αποκτήσουν εμμονή σε επίπεδο ρίζας μεταξύ των εργοστασιακών επαναφορών.
“Κατά τη διάρκεια πολλαπλών δεσμεύσεων απόκρισης συμβάντων που σχετίζονται με αυτήν τη δραστηριότητα, η CISA εντόπισε ότι οι εσωτερικές και προηγούμενες εξωτερικές ΤΠΕ του Ivanti απέτυχαν να εντοπίσουν συμβιβασμούς.”
προειδοποίησε η CISA
την Πέμπτη.
«Επιπλέον, η CISA διεξήγαγε ανεξάρτητη έρευνα σε εργαστηριακό περιβάλλον επικυρώνοντας ότι το Ivanti ICT δεν επαρκεί για τον εντοπισμό συμβιβασμού και ότι ένας παράγοντας απειλής στον κυβερνοχώρο μπορεί να είναι σε θέση να αποκτήσει επιμονή σε επίπεδο root παρά την έκδοση επαναφορών εργοστασιακών ρυθμίσεων».
Ωστόσο, η CISA παρέχει στις ομοσπονδιακές υπηρεσίες καθοδήγηση σχετικά με το πώς να προχωρήσουν μετά την ανα
κάλυψη
ενδείξεων συμβιβασμού σχετικά με τις συσκευές Ivanti VPN στα δίκτυά τους.
Οι οργανισμοί σύνταξης ενθαρρύνουν τους υπερασπιστές δικτύου (1) να υποθέσουν ότι τα διαπιστευτήρια λογαριασμού χρήστη και υπηρεσίας που είναι αποθηκευμένα στις επηρεαζόμενες συσκευές VPN Ivanti είναι πιθανό να διακυβεύονται, (2) να αναζητούν κακόβουλη δραστηριότητα στα δίκτυά τους χρησιμοποιώντας τις μεθόδους ανίχνευσης και τους δείκτες συμβιβασμού (IOC) αυτή η συμβουλευτική, (3) εκτέλεση του πιο πρόσφατου εξωτερικού ICT της Ivanti και (4) εφαρμογή της διαθέσιμης καθοδήγησης ενημέρωσης κώδικα που παρέχεται από την Ivanti καθώς γίνονται διαθέσιμες οι ενημερώσεις έκδοσης. Εάν εντοπιστεί δυνητικός συμβιβασμός, οι οργανισμοί θα πρέπει να συλλέγουν και να αναλύουν αρχεία καταγραφής και τεχνουργήματα για κακόβουλη δραστηριότητα και να εφαρμόζουν τις συστάσεις απόκρισης συμβάντων στο πλαίσιο αυτής της συμβουλευτικής. — CISA
CISA: “Σκεφτείτε τον σημαντικό κίνδυνο”
Σήμερα, ανταποκρινόμενη στη συμβουλή της CISA, ο Ivanti είπε ότι οι απομακρυσμένοι εισβολείς που προσπαθούν να αποκτήσουν επιμονή root σε μια συσκευή Ivanti χρησιμοποιώντας τη μέθοδο που βρήκε η CISA θα χάσουν τη σύνδεση με τη συσκευή Ivanti Connect Secure.
“Η Ivanti και οι συνεργάτες μας ασφαλείας δεν γνωρίζουν περιπτώσεις επιτυχούς επιμονής του παράγοντα απειλής μετά την εφαρμογή των ενημερώσεων ασφαλείας και των επαναφορών εργοστασιακών ρυθμίσεων (υλισμικό) / νέας έκδοσης (εικονική) που προτείνει ο Ivanti,” Ivanti
είπε
.
Παρά τις διαβεβαιώσεις της εταιρείας, η CISA προέτρεψε όλους τους πελάτες της Ivanti σήμερα να “
εξετάστε τον σημαντικό κίνδυνο
πρόσβασης αντιπάλου και επιμονής στις πύλες Ivanti Connect Secure και Ivanti Policy Secure όταν
αποφασίζει εάν θα συνεχίσει να λειτουργεί
αυτές οι συσκευές σε εταιρικό περιβάλλον” [
CISA’s emphasis
].
Με άλλα λόγια, η CISA προειδοποιεί ότι μπορεί να μην είναι ακόμα ασφαλές να χρησιμοποιείτε συσκευές Ivanti Connect Secure και Ivanti Policy Secure που είχαν παραβιαστεί στο παρελθόν ακόμα και μετά τον καθαρισμό και την επαναφορά εργοστασιακών ρυθμίσεων.
Την 1η Φεβρουαρίου, ως απάντηση στην «ουσιαστική απειλή» και τον αυξημένο κίνδυνο παραβιάσεων της ασφάλειας από τις παραβιασμένες συσκευές Ivanti VPN, η CISA διέταξε όλες τις ομοσπονδιακές υπηρεσίες να αποσυνδέσουν όλες τις περιπτώσεις Ivanti Connect Secure και Ivanti Policy Secure από τα δίκτυά τους εντός 48 ωρών.
Οι υπηρεσίες είχαν εντολή να εξάγουν διαμορφώσεις,
επαναφέρετέ τα εργοστασιακά
ανακατασκευάστε τα χρησιμοποιώντας ενημερωμένες
εκδόσεις
λογισμικού που κυκλοφόρησε η Ivanti, εισαγάγετε ξανά τις παραμέτρους που έχουν δημιουργηθεί αντίγραφα ασφαλείας και ανακαλέστε όλα τα συνδεδεμένα ή εκτεθειμένα πιστοποιητικά, κλειδιά και κωδικούς πρόσβασης για να μπορέσετε να επαναφέρετε τις απομονωμένες συσκευές στο διαδίκτυο.
Οι ομοσπονδιακοί φορείς που βρήκαν παραβιασμένα προϊόντα Ivanti στα δίκτυά τους είπαν να υποθέσουν ότι όλοι οι συνδεδεμένοι λογαριασμοί τομέα ήταν παραβιασμένοι και να απενεργοποιήσουν τις συνδεδεμένες/εγγεγραμμένες συσκευές (σε περιβάλλοντα cloud) ή να πραγματοποιήσουν διπλή επαναφορά κωδικού πρόσβασης για όλους τους λογαριασμούς και να ανακαλέσουν τα tickers και τα διακριτικά cloud Kerberos (στο υβριδικές ρυθμίσεις).
Παράγοντες των εθνικών κρατών έχουν εκμεταλλευτεί ορισμένες από τις ευπάθειες ασφαλείας που αναφέρει η CISA στη σημερινή συμβουλευτική ως μηδέν ημέρες προτού αξιοποιηθούν σε μεγαλύτερη κλίμακα από ένα ευρύ φάσμα παραγόντων απειλών για την απόρριψη πολλαπλών προσαρμοσμένων ποικιλιών κακόβουλου λογισμικού.
Ένα άλλο Connect Secure zero-day που παρακολουθείται ως CVE-2021-22893 χρησιμοποιήθηκε από ύποπτες κινεζικές ομάδες απειλών το 2021 για να παραβιάσουν δεκάδες κυβερνητικούς, αμυντικούς και χρηματοοικονομικούς οργανισμούς σε όλες τις Ηνωμένες Πολιτείες και την
Ευρώπη
.
Ενημέρωση 29 Φεβρουαρίου, 19:57 EST:
Η αναθεωρημένη ιστορία και τίτλος για να καταστεί σαφές η συμβουλή αναφέρεται στις συσκευές Ivanti Connect Secure και Ivanti Policy Secure VPN.
VIA:
bleepingcomputer.com
