Riasztás Az Ivanti VPN termékeket érintő 0. napi kritikus sérülékenységek aktív kihasználásáról

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) frissített[1] riasztást ad ki, az
Ivanti Connect Secure és az Ivanti Policy Secure szoftvereket érintő 0. napi, kritikus kockázati besorolású sérülékenységek kihasználását célzó kibertámadások okán.

A sérülékenységek (CVE-2023-46805, CVE-2024-21887) az összes támogatott Ivanti Connect Secure (korábbi nevén: Pulse Connect Secure) verziót – 9.x és 22.x – érintik. A biztonsági rések együttes kihasználása jelentős kiberbiztonsági kockázatot jelent, lehetővé teheti a támadók számára, hogy a hitelesítést megkerülve távolról kódot futtassanak, ami az érintett rendszer teljes kompromittáláshoz vezethet.

Figyelmeztetés aktív kihasználásról

A sérülékenységet az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) jelzése és kiberbiztonsági piaci szereplők figyelmeztetései alapján UNC5221 (Mandiant) UTA0178 (Volexity) azonosítókon jegyzett fenyegetési szereplők ─ vélelmezhetően kiberkémkedési céllal ─ a sérülékenységet célzó támadásokat indítottak (lásd: Indikátorok rész).

Javasolt védelmi intézkedések

A hivatalos hibajavítás megjelenéséig (ami a január 22-ei héten esedékes) a gyártó megkerülő megoldásokat tett közzé. A sérülékenységben érintett ügyfelek számára javasoljuk ezek alkalmazását:

  1. Javasolt megismerni a gyártói biztonsági tájékoztatót[2] felvenni a kapcsolatot a gyártói supporttal.
  2. A gyártó a sebezhetőség biztonsági kockázatának csökkentése érdekében átmeneti megoldásként javasolja a release.20240107.1.xml fájl importálását. A fájl alkalmazása néhány funkciót befolyásolhat, ezek a gyártó tájékoztatása szerint a következők:
  • Ivanti Connect Secure:

Admin REST API-k

      • A konfigurációhoz és felügyelethez használt REST API automatizálás érintett. A rendszergazdák a GW GUI felületén keresztül férhetnek hozzá a gateway-ekhez.

End User Portal (Advanced HTML5)

      • Ez csak azokra a kérésekre vonatkozik, amelyek dinamikusan hozzárendelt HTML5-könyvjelzőt indítanak, a meglévő, előre definiált HTML5-könyvjelzőket ez nem érinti.

A végfelhasználói JSAM funkciót befolyásolja.

Az átíró funkció nem érhető el, ha a kárenyhítést alkalmazták.

      • Ez a Rewriter Browser Barra vonatkozik.

A Citrix StoreFront HTML5 érintett

      • A CTS/WSAM-on keresztül csatlakozó ICA klienssel rendelkező Citrix Storefront nem érintett.

A PSAL telepítés automatikus elindítása

      • Ez csak az új felhasználókra vagy olyan gépekre van hatással, amelyek korábban nem jelentkeztek be, és nem telepítették a PSAL-t. Megoldásként töltse le és telepítse manuálisan a PSAL-t!

Admin CRL konfiguráció

      • A rendszergazdák nem tudják módosítani a CRL konfigurációt. A CRL funkciót nem befolyásolja a kockázatcsökkentés.
    • Ivanti Policy Secure:

Profiler és Remote Profiler működését jelentős mértékben befolyásolja, ha a kárenyhítést alkalmazzák, de továbbra is lehetővé teszi az IPS-berendezésen történő hitelesítést.

Az UEBA adaptív hitelesítés nem érhető el, ha a kárenyhítést alkalmazzák.

3. A gyártói integritásellenőrző eszköz alkalmazása. A beépített változaton kívül az Ivanti rendelkezik az Integrity Checker Tool továbbfejlesztett változatával, amelyet a szervezetek letölthetnek és az ICS VPN-eken futtathatnak.

Az Integrity Checker Tool futtatása újraindítja az ICS VPN készüléket, ami azt eredményezi, hogy a rendszermemória tartalma nagyrészt felülíródik. Amennyiben az eszköz futtatása előtt vannak kompromittálódásra utaló jelek, ajánlott az eszközt nem futtatni, amíg a memória és más bizonyítékok összegyűjtésére sorra nem került.

A helyi mentést követően az eszköz futtatása egy csomagnak a kiszolgálóra történő feltöltésével és Service Pack-ként történő telepítésével történik. Az eszköz ezután lefut, és megjeleníti az eredményeit a képernyőn. Ez magában foglalja azt is, hogy felfedezett-e új vagy nem megfelelő fájlokat.

Miután az ICS VPN készülék újraindul, a váratlan fájlok titkosított pillanatfelvétele elmentésre kerül és letölthető. Ezt a fájlt az Ivanti rendelkezésére lehet bocsátani a visszafejtéshez, és az azonosított váratlan fájlok archivált másolatát tartalmazza.

Az eszközzel kapcsolatos további részletek, a letöltés és a telepítés módja a KB44755 dokumentumban található.

 

Kompromittálásra utaló indikátorok (IoC-k):

Az alábbiakban a Volexity által azonosított kulcsfontosságú fájlok listája az alábbi táblázatban található.

Fájlnév Leírás Mi célt szolgál?
/home/perl/DSLogConfig.pm Modified Perl module Designed to execute sessionserver.pl
/home/etc/sql/dsserver/sessionserver.pl Perl script to remount the filesystem with read/write access Make sessionserver.sh executable, execute it, then restore original mount settings
/home/etc/sql/dsserver/sessionserver.sh Script executed by sessionserver.pl Uses regular expressions to modify compcheckresult.cgi to insert a webshell into it; also creates a series of entries into files associated with the In-build Integrity Checker Tool to evade detection when periodic scans are run
/home/webserver/htdocs/dana-na/auth/compcheckresult.cgi Modified legitimate component of the ICS VPN appliance, with new Perl module imports added and a one-liner to execute commands based on request parameters Allows remote code execution over the Internet if the attacker can craft a requests with the correct parameters
/home/webserver/htdocs/dana-na/auth/lastauthserverused.js Modified legitimate JavaScript component loaded by user login page of the Web SSL VPN component of ICS Modified to harvest entered credentials and send them to a remote URL on an attacker-controlled domain

Fontos, hogy az ICS VPN-t üzemeltető szervezetek felülvizsgálják a hálózati naplóikat, a hálózati telemetriát és az Integrity Checker Tool (múltbeli és jelenlegi) eredményeit, a sikeres kompromittálódás jeleinek megtalálása érdekében.

Érték Típus Leírás
206.189.208[.]156 ipaddress DigitalOcean IP address tied to UTA0178
gpoaccess[.]com hostname Suspected UTA0178 domain discovered via domain registration patterns
webb-institute[.]com hostname Suspected UTA0178 domain discovered via domain registration patterns
symantke[.]com hostname UTA0178 domain used to collect credentials from compromised devices
75.145.243[.]85 ipaddress UTA0178 IP address observed interacting with compromised device
47.207.9[.]89 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
98.160.48[.]170 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
173.220.106[.]166 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
73.128.178[.]221 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
50.243.177[.]161 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
50.213.208[.]89 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
64.24.179[.]210 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
75.145.224[.]109 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
50.215.39[.]49 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
71.127.149[.]194 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network
173.53.43[.]7 ipaddress UTA0178 IP address observed interacting with compromised device tied to Cyberoam proxy network

Kiberbiztonsági jelzések alapján öt egyedi malware vált ismertté, amelyeket a támadások során a fenyegetési szereplők telepítettek a hosszútávú hozzáférés fenntartásához, további rosszindulatú payloadok telepítéséhez és hitelesítő adatok ellopásához.

A Volexity és a Mandiant által eddig azonosított támadásokban használt eszközök listája:

Zipline passzív backdoor (file név: libsecure.so.1) egyedi rosszindulatú szoftver, amely képes a hálózati forgalom elfogására, támogatja a feltöltési/letöltési műveleteket, reverse shell-eket, proxy-kiszolgálókat, szerver-tunneleket hoz létre.
Wirefire web shell (file név: visits.py) Python-alapú egyedi web shell, amely támogatja a nem hitelesített tetszőleges parancsok végrehajtását és a payload telepítését.
Lightwire web shell (file név: compcheckresult.cgi) Perl nyelven írt, legitim fájlba ágyazott egyedi web shell, amely lehetővé teszi a tetszőleges parancsok végrehajtását.
Warpwire harvester (file név: lastauthserverused.js) Egyedi JavaScript-alapú eszköz a bejelentkezéskor a hitelesítő adatok begyűjtésére, majd elküldésére egy parancs- és vezérlőkiszolgálónak (C2).
PySoxy tunneler Megkönnyíti a hálózati forgalom tunnelt a lopakodás érdekében.
BusyBox Többször hívható bináris program, amely számos, különböző rendszerfeladatokhoz használt Unix segédprogramot egyesít.
Thinspool Dropper Egyéni shell script dropper, amely a Lightwire webes shell-t írja az Ivanti CS-re, biztosítva a perzisztenciát.
Thinspool utility (file név: sessionserver.sh): A fájlrendszer “read/write”-ként való újbóli csatlakoztatására szolgál a rosszindulatú programok telepítésének lehetővé tétele érdekében.

A kapcsolódó indikátorok a Volexity GitHub oldaláról is letölthetők:

YARA szabályok

Indikátorok

Hivatkozások:

[1] https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-ivanti-termekeket-erinto-0-napi-kritikus-serulekenysegekrol/

[2] https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

[3] https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

[4] https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

Nemzetbiztonsági Szakszolgálat

Nemzeti Kibervédelmi Intézet

Telefon: +36-1-336-4833

Incidensbejelentés: csirt@nki.gov.hu


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »