Неудачное исправление позволило хакерам внедрить бэкдор в кодовую базу устройств.
Хакеры используют уязвимость типа SSRF (Server-Side Request Forgery) в продуктах Ivanti Connect Secure ( ICS ), Policy Secure ( IPS ) и ZTA для развертывания нового бэкдора DSLog на уязвимых устройствах.
Ошибка Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 8.2) была обнародована 31 января и описывается как «активно эксплуатируемая уязвимость нулевого дня». После обнаружения компания Ivanti Для просмотра ссылки Войди или Зарегистрируйся обновления безопасности и рекомендации по смягчению последствий.
Уязвимость затрагивает компонент SAML указанных продуктов и позволяет атакующим обойти аутентификацию и получить доступ к ограниченным ресурсам на шлюзах Ivanti, работающих на версиях 9.x и 22.x. Для устранения проблемы были выпущены обновления:
5 февраля 2024 года служба мониторинга угроз Shadowserver Для просмотра ссылки Войдиили Зарегистрируйся о множественных попытках хакеров использовать уязвимость (441 попытка), в том числе с применением ранее опубликованных доказательств концепции (PoC) эксплойтов от Rapid7, при этом успех попыток на тот момент оставался неизвестным.
В Для просмотра ссылки Войдиили Зарегистрируйся Orange Cyberdefense подтверждается успешное использование CVE-2024-21893 для установки нового бэкдора под названием DSLog, который позволяет злоумышленникам удаленно выполнять команды на скомпрометированных серверах Ivanti. Первое обнаружение бэкдора датируется 3 февраля 2024 года после анализа скомпрометированного устройства, на котором было реализовано предложенное Ivanti средство защиты от XML (блокировка всех конечных точек API), но исправление не было применено.
Бэкдор DSLog был внедрен в кодовую базу устройства Ivanti путем отправки запросов аутентификации SAML, содержащих закодированные команды. Команды выполняли такие операции, как вывод информации о системе в общедоступный файл (index2.txt), что указывает на то, что злоумышленники стремились провести внутреннюю разведку и подтвердить свой root-доступ.
Атакующие использовали уникальный хэш SHA256 для каждого устройства в качестве API-ключа, требуя этот хэш в заголовке HTTP User-Agent для выполнения команд. Orange Cyberdefense поясняет, что бэкдор DSLog может выполнять «любые команды» на скомпрометированном устройстве, получаемые через HTTP-запросы от атакующих, причем команда включена в параметр запроса с именем «cdi». HTTP-запросы содержат специальный хэш SHA256, соответствующий затронутому устройству, который служит ключом для аутентификации запроса к бэкдору.
Исследователи отмечают, что из-за того, что веб-шелл не возвращает статус/код при попытке связи, он особенно скрытен. Orange также не смогла определить схему, используемую для расчета хэша SHA256, и отметила, что журналы «.access» были стерты на нескольких скомпрометированных устройствах для скрытия действий атакующих.
Тем не менее, исследователям удалось обнаружить почти 700 скомпрометированных серверов Ivanti, проанализировав другие артефакты, такие как текстовые файлы «index» в директории «hxxp://{ip}/dana-na/imgs/». Примерно 20% конечных точек уже пострадали от предыдущих кампаний, в то время как остальные оказались уязвимыми из-за отсутствия дополнительных исправлений или мер по смягчению последствий.
Напомним, что недавно Ivanti Для просмотра ссылки Войдиили Зарегистрируйся CVE-2024-22024 (оценка CVSS: 8.3), затрагивающей шлюзы Connect Secure (ICS), Policy Secure (IPS) и ZTA, призвав администраторов немедленно защитить свои устройства.
Уязвимость была выявлена в ходе внутреннего обзора, проведенного компанией в рамках продолжающегося расследования множества недостатков в продуктах, обнаруженных с начала года. В конце январе Ivanti Для просмотра ссылки Войдиили Зарегистрируйся для уязвимых шлюзов ICS и IPS. Однако параллельно в компании обнаружили ещё две новых уязвимости нулевого дня (zero-day), в числе которых CVE-2024-21893.
Хакеры используют уязвимость типа SSRF (Server-Side Request Forgery) в продуктах Ivanti Connect Secure ( ICS ), Policy Secure ( IPS ) и ZTA для развертывания нового бэкдора DSLog на уязвимых устройствах.
Ошибка Для просмотра ссылки Войди
Уязвимость затрагивает компонент SAML указанных продуктов и позволяет атакующим обойти аутентификацию и получить доступ к ограниченным ресурсам на шлюзах Ivanti, работающих на версиях 9.x и 22.x. Для устранения проблемы были выпущены обновления:
- Ivanti Connect Secure версий 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 и 22.5R2.2;
- Ivanti Policy Secure версии 22.5R1.1;
- ZTA версии 22.6R1.3.
5 февраля 2024 года служба мониторинга угроз Shadowserver Для просмотра ссылки Войди
В Для просмотра ссылки Войди
Бэкдор DSLog был внедрен в кодовую базу устройства Ivanti путем отправки запросов аутентификации SAML, содержащих закодированные команды. Команды выполняли такие операции, как вывод информации о системе в общедоступный файл (index2.txt), что указывает на то, что злоумышленники стремились провести внутреннюю разведку и подтвердить свой root-доступ.
Атакующие использовали уникальный хэш SHA256 для каждого устройства в качестве API-ключа, требуя этот хэш в заголовке HTTP User-Agent для выполнения команд. Orange Cyberdefense поясняет, что бэкдор DSLog может выполнять «любые команды» на скомпрометированном устройстве, получаемые через HTTP-запросы от атакующих, причем команда включена в параметр запроса с именем «cdi». HTTP-запросы содержат специальный хэш SHA256, соответствующий затронутому устройству, который служит ключом для аутентификации запроса к бэкдору.
Исследователи отмечают, что из-за того, что веб-шелл не возвращает статус/код при попытке связи, он особенно скрытен. Orange также не смогла определить схему, используемую для расчета хэша SHA256, и отметила, что журналы «.access» были стерты на нескольких скомпрометированных устройствах для скрытия действий атакующих.
Тем не менее, исследователям удалось обнаружить почти 700 скомпрометированных серверов Ivanti, проанализировав другие артефакты, такие как текстовые файлы «index» в директории «hxxp://{ip}/dana-na/imgs/». Примерно 20% конечных точек уже пострадали от предыдущих кампаний, в то время как остальные оказались уязвимыми из-за отсутствия дополнительных исправлений или мер по смягчению последствий.
Напомним, что недавно Ivanti Для просмотра ссылки Войди
Уязвимость была выявлена в ходе внутреннего обзора, проведенного компанией в рамках продолжающегося расследования множества недостатков в продуктах, обнаруженных с начала года. В конце январе Ivanti Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru