Een paar zero-day-fouten die zijn geïdentificeerd in Ivanti Connect Secure (ICS) en Policy Secure zijn door vermoedelijk aan China gelieerde natiestaten aan elkaar gekoppeld om minder dan tien klanten te overtreden.
Cyberbeveiligingsbedrijf Volexity, dat de activiteit op het netwerk van een van zijn klanten in de tweede week van december 2023 identificeerde, schreef deze toe aan een hackgroep die het volgt onder de naam UTA0178. Er zijn aanwijzingen dat het VPN-apparaat mogelijk al op 3 december 2023 is gecompromitteerd.
De twee kwetsbaarheden die in het wild zijn misbruikt om niet-geverifieerde opdrachtuitvoering op het ICS-apparaat te bewerkstelligen, zijn de volgende:
- CVE-2023-46805 (CVSS-score: 8,2) – Een kwetsbaarheid voor het omzeilen van authenticatie in de webcomponent van Ivanti Connect Secure (9.x, 22.x) en Ivanti Policy Secure stelt een aanvaller op afstand in staat toegang te krijgen tot beperkte bronnen door controlecontroles te omzeilen.
- CVE-2024-21887 (CVSS-score: 9.1) – Een kwetsbaarheid voor opdrachtinjectie in webcomponenten van Ivanti Connect Secure (9.x, 22.x) en Ivanti Policy Secure stelt een geverifieerde beheerder in staat speciaal vervaardigde verzoeken te verzenden en willekeurige opdrachten uit te voeren op het apparaat.
De kwetsbaarheden kunnen worden omgezet in een exploitketen om gevoelige instanties via internet over te nemen.
“Als CVE-2024-21887 wordt gebruikt in combinatie met CVE-2023-46805, vereist de exploitatie geen authenticatie en kan een bedreigingsacteur kwaadwillige verzoeken indienen en willekeurige opdrachten op het systeem uitvoeren”, zei Ivanti in een advies.
Het bedrijf zei dat het pogingen van de bedreigingsactoren heeft waargenomen om Ivanti’s interne integriteitscontrole (ICT) te manipuleren, die een momentopname biedt van de huidige staat van het apparaat.
Er wordt verwacht dat de patches gespreid zullen worden uitgebracht vanaf de week van 22 januari 2024. In de tussentijd wordt gebruikers aangeraden een tijdelijke oplossing toe te passen om zich te beschermen tegen mogelijke bedreigingen.
In het door Volexity geanalyseerde incident zouden de dubbele fouten zijn gebruikt om “configuratiegegevens te stelen, bestaande bestanden te wijzigen, externe bestanden te downloaden en de tunnel van het ICS VPN-apparaat om te keren.”
De aanvaller heeft verder een legitiem CGI-bestand (compcheck.cgi) op het ICS VPN-apparaat aangepast om uitvoering van opdrachten mogelijk te maken. Bovendien werd een JavaScript-bestand geladen door de Web SSL VPN-inlogpagina gewijzigd om toetsaanslagen te loggen en inloggegevens te exfiltreren die verband houden met gebruikers die inloggen op het apparaat.
“Dankzij de informatie en inloggegevens die de aanvaller verzamelde, konden ze intern naar een handvol systemen schakelen en uiteindelijk onbelemmerde toegang krijgen tot systemen op het netwerk”, aldus Volexity-onderzoekers Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair en Thomas Lancaster. gezegd.
De aanvallen worden ook gekenmerkt door verkenningsinspanningen, zijdelingse bewegingen en de inzet van een aangepaste webshell genaamd GLASSTOKEN via het achterdeur CGI-bestand om permanente toegang op afstand tot de extern gerichte webservers te behouden.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zei in een eigen waarschuwing dat het de twee tekortkomingen heeft toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, en dringt er bij federale instanties op aan om de oplossingen vóór 31 januari 2024 toe te passen.
“Op internet toegankelijke systemen, vooral kritieke apparaten zoals VPN-apparaten en firewalls, zijn opnieuw een favoriet doelwit van aanvallers geworden”, aldus Volexity.
“Deze systemen bevinden zich vaak op cruciale delen van het netwerk, kunnen geen traditionele beveiligingssoftware draaien en bevinden zich doorgaans op de perfecte plek voor een aanvaller. Organisaties moeten ervoor zorgen dat ze een strategie hebben om de activiteit van deze systemen te kunnen monitoren. apparaten en reageer snel als er iets onverwachts gebeurt.”
