Пара недостатков "нулевого дня", выявленных в Ivanti Connect Secure (ICS) и Policy Secure, были связаны подозреваемыми государственными структурами, связанными с Китаем, для взлома менее чем 10 клиентов.
Компания по кибербезопасности Volexity, которая выявила активность в сети одного из своих клиентов во вторую неделю декабря 2023 года, приписала это хакерской группе, которую она отслеживает под названием UTA0178. Есть основания полагать, что устройство VPN могло быть скомпрометировано еще 3 декабря 2023 года.
Две уязвимости, которые использовались в естественных условиях для обеспечения выполнения команд без проверки подлинности на устройстве ICS, заключаются в следующем -
"Если CVE-2024-21887 используется в сочетании с CVE-2023-46805, эксплуатация не требует аутентификации и позволяет субъекту угрозы отправлять вредоносные запросы и выполнять произвольные команды в системе", - сказал Иванти в рекомендательном письме.
Компания заявила, что наблюдала попытки со стороны участников угрозы манипулировать программой проверки внутренней целостности Ivanti (ICT), которая предлагает моментальный снимок текущего состояния устройства.
Ожидается, что исправления будут выпускаться поэтапно, начиная с недели, начинающейся 22 января 2024 года. Тем временем пользователям было рекомендовано применить обходной путь для защиты от потенциальных угроз.
В инциденте, проанализированном Volexity, двойные недостатки, как утверждается, были использованы для "кражи данных конфигурации, изменения существующих файлов, загрузки удаленных файлов и обратного туннелирования из устройства ICS VPN".
Злоумышленник дополнительно изменил законный CGI-файл (compcheck.cgi) на устройстве ICS VPN, чтобы разрешить выполнение команды. Кроме того, файл JavaScript, загружаемый страницей входа в Web SSL VPN, был изменен для регистрации нажатий клавиш и удаления учетных данных, связанных с пользователями, входящими в систему устройства.
"Информация и учетные данные, собранные злоумышленником, позволили им подключиться к нескольким системам внутри компании и в конечном итоге получить неограниченный доступ к системам в сети", - заявили исследователи Volexity Мэтью Мельцер, Роберт Ян Мора, Шон Кессел, Стивен Адэр и Томас Ланкастер.
Для атак также характерны разведывательные действия, горизонтальное перемещение и развертывание пользовательской веб-оболочки, получившей название GLASSTOKEN, через встроенный CGI-файл для поддержания постоянного удаленного доступа к внешним веб-серверам.
Агентство кибербезопасности и инфраструктуры США (CISA) в собственном предупреждении сообщило, что добавило эти два недостатка в свой каталог известных эксплуатируемых уязвимостей (KEV), призывая федеральные агентства применить исправления к 31 января 2024 года.
"Системы, доступные через Интернет, особенно критически важные устройства, такие как устройства VPN и брандмауэры, снова стали излюбленной мишенью злоумышленников", - заявили в Volexity.
"Эти системы часто находятся в критически важных частях сети, не могут запускать традиционное программное обеспечение безопасности и, как правило, находятся в идеальном месте для действий злоумышленника. Организациям необходимо убедиться, что у них есть стратегия, позволяющая отслеживать активность с этих устройств и быстро реагировать, если происходит что-то неожиданное."
Компания по кибербезопасности Volexity, которая выявила активность в сети одного из своих клиентов во вторую неделю декабря 2023 года, приписала это хакерской группе, которую она отслеживает под названием UTA0178. Есть основания полагать, что устройство VPN могло быть скомпрометировано еще 3 декабря 2023 года.
Две уязвимости, которые использовались в естественных условиях для обеспечения выполнения команд без проверки подлинности на устройстве ICS, заключаются в следующем -
- CVE-2023-46805 (оценка CVSS: 8.2) - Уязвимость обхода аутентификации в веб-компоненте Ivanti Connect Secure (9.x, 22.x) и Ivanti Policy Secure позволяет удаленному злоумышленнику получить доступ к ограниченным ресурсам в обход контрольных проверок.
- CVE-2024-21887 (оценка CVSS: 9.1) - Уязвимость при внедрении команд в веб-компоненты Ivanti Connect Secure (9.x, 22.x) и Ivanti Policy Secure позволяет администратору, прошедшему проверку подлинности, отправлять специально созданные запросы и выполнять произвольные команды на устройстве.
"Если CVE-2024-21887 используется в сочетании с CVE-2023-46805, эксплуатация не требует аутентификации и позволяет субъекту угрозы отправлять вредоносные запросы и выполнять произвольные команды в системе", - сказал Иванти в рекомендательном письме.
Компания заявила, что наблюдала попытки со стороны участников угрозы манипулировать программой проверки внутренней целостности Ivanti (ICT), которая предлагает моментальный снимок текущего состояния устройства.
Ожидается, что исправления будут выпускаться поэтапно, начиная с недели, начинающейся 22 января 2024 года. Тем временем пользователям было рекомендовано применить обходной путь для защиты от потенциальных угроз.
В инциденте, проанализированном Volexity, двойные недостатки, как утверждается, были использованы для "кражи данных конфигурации, изменения существующих файлов, загрузки удаленных файлов и обратного туннелирования из устройства ICS VPN".
Злоумышленник дополнительно изменил законный CGI-файл (compcheck.cgi) на устройстве ICS VPN, чтобы разрешить выполнение команды. Кроме того, файл JavaScript, загружаемый страницей входа в Web SSL VPN, был изменен для регистрации нажатий клавиш и удаления учетных данных, связанных с пользователями, входящими в систему устройства.
"Информация и учетные данные, собранные злоумышленником, позволили им подключиться к нескольким системам внутри компании и в конечном итоге получить неограниченный доступ к системам в сети", - заявили исследователи Volexity Мэтью Мельцер, Роберт Ян Мора, Шон Кессел, Стивен Адэр и Томас Ланкастер.
Для атак также характерны разведывательные действия, горизонтальное перемещение и развертывание пользовательской веб-оболочки, получившей название GLASSTOKEN, через встроенный CGI-файл для поддержания постоянного удаленного доступа к внешним веб-серверам.
Агентство кибербезопасности и инфраструктуры США (CISA) в собственном предупреждении сообщило, что добавило эти два недостатка в свой каталог известных эксплуатируемых уязвимостей (KEV), призывая федеральные агентства применить исправления к 31 января 2024 года.
"Системы, доступные через Интернет, особенно критически важные устройства, такие как устройства VPN и брандмауэры, снова стали излюбленной мишенью злоумышленников", - заявили в Volexity.
"Эти системы часто находятся в критически важных частях сети, не могут запускать традиционное программное обеспечение безопасности и, как правило, находятся в идеальном месте для действий злоумышленника. Организациям необходимо убедиться, что у них есть стратегия, позволяющая отслеживать активность с этих устройств и быстро реагировать, если происходит что-то неожиданное."
