Er is waargenomen dat een vermoedelijke tegenstander van een natiestaat drie beveiligingsfouten in de Ivanti Cloud Service Appliance (CSA) in een zero-day bewapent om een reeks kwaadaardige acties uit te voeren.
Dat blijkt uit bevindingen van Fortinet FortiGuard Labs, die stellen dat de kwetsbaarheden zijn misbruikt om niet-geverifieerde toegang te krijgen tot de CSA, gebruikers op te sommen die in het apparaat zijn geconfigureerd en te proberen toegang te krijgen tot de inloggegevens van die gebruikers.
“Er werd waargenomen dat de geavanceerde tegenstanders zero-day-kwetsbaarheden uitbuitten en aan elkaar koppelden om bruggenhoofdtoegang tot het netwerk van het slachtoffer tot stand te brengen”, aldus beveiligingsonderzoekers Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans en Robert Reyes.
De betreffende gebreken worden hieronder opgesomd –
- CVE-2024-8190 (CVSS-score: 7,2) – Een fout in de opdrachtinjectie in de bron /gsb/DateTimeTab.php
- CVE-2024-8963 (CVSS-score: 9,4) – Een kwetsbaarheid bij het doorlopen van paden op de bron /client/index.php
- CVE-2024-9380 (CVSS-score: 7,2) – Een geverifieerde kwetsbaarheid voor opdrachtinjectie die de bronrapporten.php aantast
In de volgende fase werden de gestolen inloggegevens van gsbadmin en admin gebruikt om geauthenticeerde exploitatie uit te voeren van de kwetsbaarheid voor commando-injectie die de bron /gsb/reports.php aantastte, om een webshell (“help.php”) te laten vallen.
“Op 10 september 2024, toen het advies voor CVE-2024-8190 werd gepubliceerd door Ivanti, ‘patchte’ de bedreigingsacteur, nog steeds actief in het netwerk van de klant, de kwetsbaarheden voor commando-injectie in de bronnen /gsb/DateTimeTab.php, en /gsb/reports.php, waardoor ze onbruikbaar worden.”
“In het verleden is waargenomen dat bedreigingsactoren kwetsbaarheden patchen nadat ze deze hebben uitgebuit, en voet aan de grond hebben gekregen in het netwerk van het slachtoffer, om te voorkomen dat andere indringers toegang krijgen tot de kwetsbare activa en mogelijk hun aanvalsoperaties kunnen verstoren. “
Er is ook vastgesteld dat de onbekende aanvallers misbruik maken van CVE-2024-29824, een kritieke fout die invloed heeft op Ivanti Endpoint Manager (EPM), nadat ze het internetgerichte CSA-apparaat hadden gecompromitteerd. Concreet betrof dit het inschakelen van de opgeslagen procedure xp_cmdshell om uitvoering van externe code te bewerkstelligen.
Het is vermeldenswaard dat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) de kwetsbaarheid in de eerste week van oktober 2024 heeft toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus.
Enkele van de andere activiteiten waren onder meer het maken van een nieuwe gebruiker met de naam mssqlsvc, het uitvoeren van verkenningsopdrachten en het exfiltreren van de resultaten van die opdrachten via een techniek die bekend staat als DNS-tunneling met behulp van PowerShell-code. Ook opmerkelijk is de implementatie van een rootkit in de vorm van een Linux-kernelobject (sysinitd.ko) op het gecompromitteerde CSA-apparaat.
“Het waarschijnlijke motief hierachter was dat de bedreigingsacteur de persistentie op kernelniveau op het CSA-apparaat handhaafde, wat zelfs een fabrieksreset zou kunnen overleven”, aldus Fortinet-onderzoekers.
