Δύο zero-day ευπάθειες που επηρεάζουν τις συσκευές Connect Secure VPN και Policy Secure Network Access Control (NAC) της Ivanti χρησιμοποιούνται μαζικά σε επιθέσεις στον κυβερνοχώρο.

Οι ερευνητές της Volexity, που ήταν και οι πρώτοι που εντόπισαν για πρώτη φορά τα zero-days σε επιθέσεις του Δεκεμβρίου, είδαν τώρα ότι πολλές hacking ομάδες συνδυάζουν την ευπάθεια παράκαμψης ελέγχου ταυτότητας, CVE-2023-46805, και την ευπάθεια command injection, CVE-2024-21887 για να πραγματοποιήσουν επιθέσεις. Αυτές οι νέες κυβερνοεπιθέσεις έχουν εντοπιστεί από τις 11 Ιανουαρίου.

Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι στοχεύουν θύματα σε όλο τον κόσμο. Τα θύματα μπορεί να είναι μικρές επιχειρήσεις αλλά και μερικοί από τους μεγαλύτερους και πιο γνωστούς οργανισμούς.

Δείτε επίσης: Ivanti: Προειδοποιεί για κρίσιμη ευπάθεια στο EPM software

Οι επιτιθέμενοι έκαναν backdoor τα συστήματα των στόχων τους χρησιμοποιώντας μια παραλλαγή webshell GIFTEDVISITOR που βρέθηκε σε εκατοντάδες συσκευές.

Την Κυριακή, 14 Ιανουαρίου 2024, η Volexity είχε εντοπίσει περισσότερες από 1.700 συσκευές ICS VPN που είχαν παραβιαστεί με το GIFFEDVISITOR webshell. Αυτές οι συσκευές φαίνεται να έχουν στοχοποιηθεί αδιακρίτως, με τα θύματα να βρίσκονται σε όλο τον κόσμο“, δήλωσε η Volexity.

Οι ερευνητές λένε ότι ανάμεσα στα θύματα βρίσκονται κυβερνητικές και στρατιωτικές υπηρεσίες, εθνικές εταιρείες τηλεπικοινωνιών, αμυντικοί εργολάβοι, εταιρείες τεχνολογίας, τραπεζικοί οργανισμοί, συμβουλευτικές εταιρίες και εταιρείες αεροδιαστημικής, αεροπορίας και μηχανικών.

Η Ivanti δεν έχει ακόμη κυκλοφορήσει ενημερώσεις ασφαλείας για αυτές τις δύο zero-day ευπάθειες. Επομένως, οι διαχειριστές θα πρέπει να λάβουν κάποια άλλα προσωρινά μέτρα για να προστατεύσουν τα ICS VPN στο δίκτυό τους.

Θα πρέπει επίσης να τρέξουν το Integrity Checker Tool της Ivanti και να θεωρήσουν ότι όλα τα δεδομένα της συσκευής ICS VPN (συμπεριλαμβανομένων των κωδικών πρόσβασης και τυχόν μυστικών) έχουν παραβιαστεί, εάν εντοπιστούν ενδείξεις παραβίασης.

Δείτε επίσης: Η Ivanti διορθώνει κρίσιμες ευπάθειες στο Avalanche

Η υπηρεσία παρακολούθησης απειλών Shadowserver έχει εντοπίσει περισσότερες από 16.800 συσκευές ICS VPN που εκτίθενται στο διαδίκτυο, κάτι που τις καθιστά ακόμα πιο ευάλωτες.

Όπως αποκάλυψε η Ivanti την περασμένη εβδομάδα, οι εισβολείς μπορούν να εκτελέσουν εντολές σε όλες τις υποστηριζόμενες εκδόσεις των συσκευών ICS VPN και IPS όταν συνδέουν με επιτυχία τις δύο zero-day ευπάθειες.

Το ανησυχητικό είναι ότι οι επιθέσεις έχουν πλέον αυξηθεί σημαντικά. Πολλές διαφορετικές ομάδες χρησιμοποιούν τις ευπάθειες, στοχεύοντας οργανισμούς σε όλο τον κόσμο.

Σύμφωνα με την Mandiant, έχουν εντοπιστεί τουλάχιστον πέντε custom malware που αναπτύσσονται σε παραβιασμένα συστήματα πελατών, με τελικό στόχο την εγκατάσταση web shells, πρόσθετα κακόβουλα payloads και την κλοπή credentials.

Τα εργαλεία που χρησιμοποιούνται στις επιθέσεις:

  • Zipline Passive Backdoor: μπορεί να παρέμβει στο network traffic, υποστηρίζει λειτουργίες μεταφόρτωσης/λήψης, δημιουργεί reverse shells, proxy servers, server tunneling
  • Thinspool Dropper: πρόκειται για ένα custom shell script dropper που γράφει το Lightwire web shell στο Ivanti CS, εξασφαλίζοντας persistence
  • Wirefire web shell: custom Python-based web shell που υποστηρίζει εκτέλεση εντολών και εγκαθιστά κακόβουλα payloads
  • Lightwire web shell: custom Perl web shell που είναι ενσωματωμένο σε ένα νόμιμο αρχείο και επιτρέπει την εκτέλεση κακόβουλων εντολών
  • Warpwire harvester: custom JavaScript-based εργαλείο για συλλογή credentials σύνδεσης και αποστολή τους σε command and control (C2) server των επιτιθέμενων
  • PySoxy tunneler: διευκολύνει το network traffic tunneling για μυστικότητα
  • BusyBox: multi-call binary που συνδυάζει πολλά βοηθητικά προγράμματα Unix
  • Thinspool utility (sessionserver.pl): χρησιμοποιείται για την επαναφορά του συστήματος αρχείων ως «read/write» για την ενεργοποίηση της ανάπτυξης κακόβουλου λογισμικού

Πώς να προστατευτείτε από τις ευπάθειες της Ivanti

Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτεί κάποιος από την εκμετάλλευση ευπαθειών είναι η εφαρμογή των τελευταίων ενημερώσεων ασφαλείας και patches (όταν κυκλοφορήσουν από την Ivanti).

Επιπλέον, η χρήση ενός ισχυρού λογισμικού ανίχνευσης εισβολών (IDS) ή ενός συστήματος πρόληψης εισβολών (IPS) μπορεί να βοηθήσει στην ανίχνευση και την πρόληψη των προσπαθειών εκμετάλλευσης των zero-days.

Δείτε επίσης: Η Ivanti προειδοποιεί για ένα νέο zero-day bug του MobileIron

Η εκπαίδευση των χρηστών για την ασφαλή χρήση του διαδικτύου και την αναγνώριση των επιθέσεων phishing είναι επίσης ζωτικής σημασίας. Οι επιθέσεις phishing είναι μια κοινή τακτική που χρησιμοποιούν οι επιτιθέμενοι για να εκμεταλλευτούν τα zero-days.

Τέλος, η χρήση ενός εξειδικευμένου λογισμικού για τη διαχείριση των ευπαθειών μπορεί να βοηθήσει στην ανίχνευση και την αποτροπή των επιθέσεων zero-day. Αυτό το λογισμικό μπορεί να παρακολουθεί συνεχώς το δίκτυο για ενδείξεις επιθέσεων και να παρέχει ειδοποιήσεις όταν ανιχνεύει κάτι ύποπτο.

Πηγή: www.bleepingcomputer.com