Az Ivanti Connect Secure VPN és Policy Secure hálózati hozzáférés-ellenőrző eszközeit érintő két zero day sebezhetőség tömeges kihasználását jelentették.
A Volexity fenyegetéselemző vállalat felfedezte, hogy a CVE-2023-46805 hitelesítési és a CVE-2024-21887 parancsinjekciós sebezhetőséget több csoport használja ki egyes támadásokban január 11-e óta.
“Az áldozatok globálisan oszlanak el és méretükben nagyon eltérőek, a kisvállalkozásoktól a világ legnagyobb szervezeteinek némelyikéig, köztük több Fortune 500-as vállalat több iparági vertikumban. 2024. január 14-én, vasárnap a Volexity több mint 1700 ICS VPN készüléket azonosított, amelyeket a GIFTEDVISITOR webshell segítségével kompromittáltak. Úgy tűnik, hogy ezeket az eszközöket válogatás nélkül vették célba, és az áldozatok a világ minden tájáról származnak.” – figyelmeztetett a Volexity.
A támadók egy GIFTEDVISITOR webshell variáns segítségével hoztak létre backdoorokat a célpontrendszerek százain.
A Volexity által eddig felfedezett áldozatok listáján világszerte kormányzati és katonai szervek, nemzeti távközlési vállalatok, védelmi vállalkozók, technológiai vállalatok, banki, pénzügyi és számviteli szervezetek, világméretű tanácsadó cégek, valamint repülőgépipari, repülési és mérnöki cégek szerepelnek.
Bár az Ivanti még nem adott ki javítócsomagokat erre a két aktívan kihasználható zero day-re, az adminoknak tanácsos a gyártó által biztosított kárenyhítési intézkedések alkalmazása a hálózatukban lévő összes ICS VPN-en. Emellett futtassák az Ivanti Integrity Checker Tool eszközét, és tekintsék az ICS VPN berendezésen lévő összes adatot kompromittáltnak, ha sérülésre utaló jeleket találnak a Volexity korábbi blogbejegyzésének “Válasz a veszélyeztetésre” (Responding to Compromise) című részében.
A Shadowserver fenyegetésfigyelő szolgáltatás jelenleg több mint 16 800, az interneten kitett ICS VPN készüléket követ nyomon.
Amint azt az Ivanti nyilvánosságra hozta, a támadók a két zero day sikeres láncolása esetén tetszőleges parancsokat futtathatnak az ICS VPN és IPS eszközök minden támogatott verzióján.
A támadások mostanra eszkalálódtak az ezeket a sebezhetőségeket kihasználó támadások által érintett korlátozott számú ügyfélről, és a feltételezett kínai állam által támogatott fenyegető szereplőhöz (UTA0178 vagy UNC5221 néven nyomon követhető) mostanra több más is csatlakozott.
Amint azt a Mandiant január 12-én felfedte, biztonsági szakértőik öt egyedi kártevő törzset találtak a megtámadott ügyfelek rendszereiben, amelyek célja webshellek, további rosszindulatú payload-ok telepítése és hitelesítő adatok ellopása volt.
A támadásokban használt eszközök listája a következőket tartalmazza:
Zipline passzív backdoor: egyedi rosszindulatú szoftver, amely képes a hálózati forgalom elfogására, támogatja a feltöltési/letöltési műveleteket, reverse shell-eket, proxy kiszolgálókat, szerver tunneleket hoz létre.
Thinspool Dropper: egyéni shell script dropper, amely a Lightwire webes shell-t írja az Ivanti CS-re, biztosítva a perzisztenciát.
Wirefire web shell: Python-alapú egyedi web shell, amely támogatja a nem hitelesített tetszőleges parancsok végrehajtását és a payload telepítését.
Lightwire web shell: Perl nyelven írt, legitim fájlba ágyazott egyedi web shell, amely lehetővé teszi a tetszőleges parancsok végrehajtását.
Warpwire harvester: egyedi JavaScript-alapú eszköz a bejelentkezéskor a hitelesítő adatok begyűjtésére, majd elküldésére egy parancs- és vezérlőkiszolgálónak (C2).
PySoxy tunneler: megkönnyíti a hálózati forgalom tunnelt a lopakodás érdekében.
BusyBox: többször hívható bináris program, amely számos, különböző rendszerfeladatokhoz használt Unix segédprogramot egyesít.
Thinspool segédprogram (sessionserver.pl): a fájlrendszer “read/write”-ként való újbóli csatlakoztatására szolgál a rosszindulatú programok telepítésének lehetővé tétele érdekében.
A legjelentősebb a ZIPLINE, egy passzív back door, amely elfogja a bejövő hálózati forgalmat, és fájlátviteli, reverse shell, tunneling és proxyzási képességeket biztosít.
A feltételezett kínai hackercsoportok két évvel ezelőtt egy másik ICS zero day-t használtak a több tucat amerikai és európai kormányzati, védelmi és pénzügyi szervezetbe történő betöréshez.
