Agenda de securitate cibernetică și infrastructură a SUA (CISA) a dezvăluit astăzi că atacatorii care au compromis dispozitivele Ivanti folosind una dintre multiplele vulnerabilități exploatate pot menține persistența root chiar și după efectuarea resetării din fabrică.
Mai mult, ei pot evita detectarea de către Instrumentul de Verificare a Integrității (ICT) intern și extern al Ivanti pe gateway-urile Ivanti Connect Secure și Policy Secure compromise folosind exploatațiile CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 și CVE-2024-21893.
Ratingurile de severitate ale celor patru vulnerabilități variază de la ridicat la critic și pot fi exploatate pentru bypass de autentificare, injectare de comenzi, falsificare de cereri de la server și executare arbitrară de comenzi.
CISA a constatat că ICT-ul Ivanti a eșuat în detectarea compromiterii în timp ce investiga mai multe incidente de hacking implicate dispozitive Ivanti compromise. Acest lucru s-a întâmplat deoarece shell-urile web găsite pe sisteme nu aveau nicio discrepanță de fișiere, conform ICT-ului Ivanti.
În plus, analiza forensică a relevat că atacatorii și-au acoperit urmele prin suprascrierea fișierelor, modificarea timpului de creare a fișierelor și remontarea partiției de runtime pentru a restaura dispozitivul compromis într-o „stare curată”.
Aceasta arată că scanările ICT nu sunt întotdeauna fiabile în detectarea compromiterilor anterioare și pot crea un sentiment fals de securitate că dispozitivul este liber de orice compromitere, conform CISA.
Mai mult, agenția de securitate cibernetică a SUA a putut confirma independent într-un laborator de testare că este nevoie de mai mult decât ICT-ul Ivanti pentru a detecta în mod corespunzător compromiterea, deoarece actorii de amenințare ar putea obține persistență la nivel de root între resetările din fabrică.
„În timpul mai multor angajamente de răspuns la incidente asociate cu această activitate, CISA a identificat că ICT-ul intern și anterior extern al Ivanti a eșuat în detectarea compromiterii,” a avertizat CISA joi.
„În plus, CISA a efectuat cercetări independente într-un mediu de laborator, validând faptul că ICT-ul Ivanti nu este suficient pentru a detecta compromiterea și că un actor de amenințare cibernetică ar putea obține persistență la nivel de root în ciuda efectuării resetărilor din fabrică.”
Astăzi, în răspuns la avertizarea CISA, Ivanti a declarat că atacatorii remote care încearcă să obțină persistență la nivel de root pe un dispozitiv Ivanti folosind metoda descoperită de CISA ar pierde conexiunea cu dispozitivul Ivanti Connect Secure.
„Ivanti și partenerii noștri de securitate nu sunt conștienți de niciun caz de persistență a actorilor de amenințare reușită după implementarea actualizărilor de securitate și a resetărilor din fabrică (hardware)/ a construirii de la zero (virtual) recomandate de Ivanti,” a spus Ivanti.
Cu toate asigurările companiei, CISA a îndemnat astăzi toți clienții Ivanti să „ia în considerare riscul semnificativ al accesului adversarilor la, și persistența pe, gateway-urile Ivanti Connect Secure și Ivanti Policy Secure atunci când decid să continue exploatarea acestor dispozitive într-un mediu de întreprindere” [accentul CISA].
Altfel spus, CISA avertizează că s-ar putea să nu fie în continuare sigur să folosiți dispozitivele Ivanti compromise anterior chiar și după curățare și efectuarea unei resetări din fabrică.
Pe 1 februarie, în răspuns la „amenințarea substanțială” și creșterea riscului de încălcări de securitate cauzate de dispozitivele VPN Ivanti compromise, CISA a ordonat tuturor agențiilor federale să deconecteze toate instanțele Ivanti Connect Secure și Ivanti Policy Secure din rețelele lor în termen de 48 de ore.
Agențiile au fost obligate să exporte configurațiile, să le reseteze din fabrică, să le reconstruiască folosind versiuni de software patch-uite lansate de Ivanti, să reimporteze configurațiile de rezervă și să revoce toate certificatele, cheile și parolele conectate sau expuse pentru a putea readuce dispozitivele izolate online.
Agențiile federale care au descoperit produse Ivanti compromise în rețelele lor au fost sfătuite să presupună că toate conturile de domeniu conectate au fost compromise și să dezactiveze dispozitivele alăturate/inregistrate (în medii cloud) sau să efectueze o resetare dublă a parolelor pentru toate conturile și să revoce tichetele Kerberos și token-urile cloud (în configurații hibride).
Actorii de stat au exploatat unele dintre vulnerabilitățile de securitate menționate de CISA în avertizarea de astăzi ca zero-days înainte de a fi exploatate la o scară mai mare de o gamă largă de actori de amenințare pentru a implementa mai multe tulpini de malware personalizate.
Un alt zero-day Connect Secure urmărit sub numele de CVE-2021-22893 a fost folosit de grupurile de amenințări chinezești suspectate în 2021 pentru a compromite zeci de organizații guvernamentale, de apărare și financiare din Statele Unite și Europa.
FBI, CISA avertizează spitalele din SUA cu privire la atacurile țintite de ransomware BlackCat
CISA ordonă agențiilor federale să deconecteze dispozitivele VPN Ivanti până sâmbătă
CISA: Bug-ul critic de bypass de autentificare Ivanti este acum exploatat activ
Hackerii ruși se orientează către atacuri în cloud, SUA și aliații avertizează
Guvernul SUA împărtășește sfaturi de apărare împotriva cyberatacurilor pentru utilitățile de apă
Leave a Reply