ИБ-специалисты сообщают, что две уязвимости нулевого дня, недавно обнаруженные в составе Ivanti Connect Secure VPN и Policy Secure, подергаются массовым хакерским атакам. Проблемы CVE-2023-46805 и CVE-2024-21887 позволяют обойти аутентификацию и внедрять произвольные команды. При этом патчей для этих 0-day до сих пор нет.
Уязвимости
Об уязвимостях стало известно на прошлой неделе. Тогда разработчики Ivanti раскрыли информацию о двух 0-day в Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS), которые уже эксплуатировали хакеры.
Первая уязвимость (CVE-2023-46805) связана с обходом аутентификации в веб-компоненте, что позволяет получить доступ к ограниченным ресурсам в обход проверок. Вторая уязвимость (CVE-2024-21887) связана с инъекциями команд и позволяет аутентифицированным администраторам выполнять произвольные команды путем отправки специально подготовленных запросов.
В компании предупредили, что при успешном объединении двух этих проблем хакеры могут выполнять произвольные команды во всех поддерживаемых версиях Connect Secure и Policy Secure.
Этой возможность уже на тот момент воспользовались хакеры, так как сообщалось, что около 20 клиентов компании были атакованы при помощи этих 0-day. Однако тогда детали атак не раскрывались.
При этом разработчики Ivanti пообещали выпустить патчи в два этапа: ожидается, что первая версия исправлений будет доступна клиентам на следующей неделе, после 22 января, а финальная версия — лишь после 19 февраля. До выхода патчей баги можно устранить, только импортировав специальный XML-файл, доступный только клиентам через портал загрузки Ivanti.
Атаки
Как стало известно вскоре после раскрытия информации о проблемах, уязвимости использовались для развертывания сразу нескольких семейств кастомного вредоносного ПО, и главной целью атакующих был шпионаж.
Согласно отчету компании Mandiant, которая работает над расследованием инцидентов совместно с Ivanti, за атаками, произошедшими еще в декабре, стояла кибершпионская группировка, которую специалисты отслеживают как UNC5221. Хотя в отчете Mandiant об атрибуции UNC5221 не сообщалось ничего, специалисты компании Volexity утверждают, что за атаками, похоже, стоят китайские «правительственные хакеры» из группы UTA0178.
По данным исследователей, после эксплуатации CVE-2023-46805 и CVE-2024-21887 хакеры используют набор из пяти кастомных вредоносов и легитимных инструментов, предназначенных для установки веб-шеллов, выполнения команд, доставки полезных нагрузок и кражи учетных данных.
- Пассивный бэкдор Zipline: может перехватывать сетевой трафик, поддерживает операции загрузки/выгрузки, создание реверс-шеллов, прокси-серверов и туннелирование;
- Дроппер Thinspool: скрипт-дроппер, который записывает веб-шелл Lightwire в ICS, обеспечивая устойчивость;
- Wirefire: веб-шелл на базе Python, поддерживающий выполнение произвольных команд без аутентификации и передачу полезных нагрузок;
- Lightwire: веб-шелл на основе Perl, встроенный в легитимный файл, позволяющий выполнять произвольные команды;
- Warpwire: JavaScript-инструмент для сбора учетных данных и передачи информации на управляющий сервер;
- PySoxy: облегчает туннелирование сетевого трафика для обеспечения скрытности;
- BusyBox: multi-call бинарник, объединяющий множество Unix-утилит, используемых для выполнения различных системных задач;
- Thinspool (sessionserver.pl): используется для перемонтирования файловой системы в read/write, чтобы развернуть вредоносное ПО.
На этой неделе аналитики компании Volexity выпустили собственный отчет, посвященный эксплуатации свежих 0-day в продуктах Ivanti. По данным специалистов, начиная с 11 января 2024 года уязвимости уже находятся под массовыми атаками, за которыми стоят сразу несколько хакерских групп.
«Жертвы атак рассредоточены по всему миру и сильно различаются по размеру: от малых предприятий до крупнейших организаций в мире, включая несколько компаний из списка Fortune 500 в различных отраслях», — предупреждает Volexity.
Компания сообщает, что злоумышленники атаковали системы жертв, используя вариант веб-шелла GIFTEDVISITOR, который уже выявлен на сотнях устройств.
«В воскресенье, 14 января 2024 года, Volexity обнаружила более 1700 устройств ICS VPN, которые были скомпрометированы с помощью веб-шелла GIFTEDVISITOR. Судя по всему, эти устройства были атакованы без разбора, и жертвы распределены по всему миру», — гласит отчет экспертов.
В число пострадавших, обнаруженных Volexity, входят правительственные и военные ведомства по всему миру, государственные телекоммуникационные компании, оборонные подрядчики, технологические компании, банковские, финансовые и бухгалтерские организации, международные консалтинговые компании, а также аэрокосмические, авиационные и инженерные компании.
Так как патчей все еще нет, администраторам рекомендуется применить предложенные Ivanti меры по снижению рисков, а также использовать инструмент Ivanti Integrity Checker Tool. Любые данные в системе Connect Secure VPN (включая пароли и любые секреты) следует рассматривать как скомпрометированные, если обнаружены хоть какие-то признаки взлома.
В настоящее время Shadowserver обнаруживает более 16 800 ICS VPN, доступных через интернет. Почти 5000 из них находятся в США.