În urma unei dezvăluiri a Agenției de Securitate Cibernetică și Infrastructură a Statelor Unite (CISA), se pare că atacatorii care hack-uiesc echipamentele VPN Ivanti folosind una dintre multiplele vulnerabilități exploatate activ ar putea menține persistența root chiar și după efectuarea resetării din fabrică.
Mai mult, aceștia pot evita detectarea de către Instrumentul de Verificare a Integrității interne și externe (ICT) al Ivanti pe gateway-urile compromite Ivanti Connect Secure și Policy Secure folosind exploatarea CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 și CVE-2024-21893.
Ratingurile de severitate ale celor patru vulnerabilități variază de la ridicat la critic și pot fi exploatate pentru bypass-ul de autentificare, injectarea de comenzi, forjarea de cereri de la server și executarea arbitrară de comenzi.
CISA a constatat că ICT-ul Ivanti a eșuat în detectarea compromiterii în timp ce investiga mai multe incidente de hacking implicate echipamentele Ivanti compromise. Acest lucru s-a întâmplat deoarece shell-urile web găsite pe sisteme nu au avut niciun tip de discrepanțe de fișiere, conform ICT-ului Ivanti.
În plus, analiza forensic a relevat că atacatorii și-au acoperit urmele prin suprascrierea fișierelor, modificarea timpului acestora și re-montarea partiției de runtime pentru a restaura echipamentul compromis la un „stare curată”.
Aceasta arată că scanările ICT nu au fost întotdeauna fiabile în detectarea compromiterilor anterioare și pot crea o falsă senzație de securitate că dispozitivul este lipsit de orice compromis, conform CISA. Ivanti a lansat acum un nou Instrument de Verificare a Integrității extern pentru a rezolva problemele din scannerul lor anterior.
Mai mult, agenția de securitate cibernetică a SUA a putut confirma independent într-un laborator că este nevoie de mai mult decât ICT-ul Ivanti pentru a detecta suficient compromisul, deoarece actorii de amenințare ar putea obține persistență la nivel de root între resetările din fabrică.
„În timpul mai multor angajamente de răspuns la incidente asociate cu această activitate, CISA a identificat faptul că ICT-ul intern și precedentul ICT extern al Ivanti au eșuat în detectarea compromiterii”, a avertizat CISA joi.
„În plus, CISA a desfășurat cercetări independente într-un mediu de laborator pentru a valida faptul că ICT-ul Ivanti nu este suficient pentru a detecta compromiteri și că un actor de amenințare cibernetic ar putea să obțină persistență la nivel de root în ciuda efectuării resetărilor din fabrică”.
Cu toate acestea, CISA oferă agențiilor federale ghiduri cu privire la modul de procedare după descoperirea semnelor de compromitere pe echipamentele VPN Ivanti din rețelele lor.
Organizațiile care au realizat acest articol încurajează apărătorii rețelelor să (1) presupună că datele de autentificare ale utilizatorului și ale conturilor de servicii stocate în echipamentele VPN Ivanti afectate sunt probabil compromise, (2) să caute activități malitioase în rețelele lor folosind metodele de detectare și indicatorii de compromitere (IOCs) din această avertizare, (3) să ruleze cel mai recent ICT extern al Ivanti și (4) să aplice ghidurile de patching disponibile furnizate de Ivanti pe măsură ce devin disponibile actualizările de versiune. Dacă este detectată o posibilă compromitere, organizațiile ar trebui să colecteze și să analizeze logurile și artefactele pentru activități malitioase și să aplice recomandările de răspuns la incidente din această avertizare. — CISA
Astăzi, în urma avertizării CISA, Ivanti a declarat că atacatorii la distanță care încearcă să obțină persistența root pe un dispozitiv Ivanti folosind metoda descoperită de CISA ar pierde conexiunea la echipamentul Ivanti Connect Secure.
„Ivanti și partenerii noștri de securitate nu sunt conștienți de niciun caz de persistență a actorilor de amenințare de succes după implementarea actualizărilor de securitate și a resetărilor din fabrică (hardware)/ a noilor construcții (virtuale) recomandate de Ivanti”, a declarat Ivanti.
În ciuda asigurărilor companiei, CISA le-a cerut astăzi tuturor clienților Ivanti să „ia în considerare riscul semnificativ al accesului inamic la, și persistența asupra, gateway-urilor Ivanti Connect Secure și Ivanti Policy Secure atunci când decid dacă să continue operațiunile cu aceste dispozitive într-un mediu de întreprindere” [accentul CISA].
Cu alte cuvinte, CISA avertizează că încă nu ar fi sigur să folosești dispozitivele Ivanti Connect Secure și Ivanti Policy Secure compromise anterior chiar și după curățare și resetare din fabrică.
Pe 1 februarie, în răspuns la „amenințarea substanțială” și riscul crescut de încălcări de securitate cauzate de echipamentele VPN Ivanti compromise, CISA a ordonat tuturor agențiilor federale să deconecteze toate instanțele de Ivanti Connect Secure și Ivanti Policy Secure de pe rețelele lor în termen de 48 de ore,
Agențiile au fost obligate să exporte configurațiile, să le reseteze din fabrică, să le reconstruiască folosind versiunile de software patch-uite lansate de Ivanti, să reimporte configurațiile de backup și să anuleze toate certificatele, cheile și parolele conectate sau expuse pentru a putea readuce dispozitivele izolate online.
Agențiile federale care au descoperit produse Ivanti compromise pe rețelele lor au fost sfătuite să presupună că toate conturile de domeniu conectate au fost compromise și să dezactiveze dispozitivele unite/înregistrate (în medii cloud) sau să efectueze o dublă resetare a parolelor pentru toate conturile și să anuleze bilete Kerberos și token-uri cloud (în configurații hibride).
Actorii de stat național au exploatat unele dintre vulnerabilitățile de securitate menționate de CISA în avertizarea de astăzi ca zero-days înainte de a fi folosite la o scară mai largă de o gamă largă de actori de amenințări pentru a implementa mai multe tipuri de malware personalizate.
Un alt zero-day Connect Secure urmărit ca CVE-2021-22893 a fost folosit de grupuri de amenințări chinezești suspectate în 2021 pentru a penetra zeci de organizații guvernamentale, de apărare și financiare din Statele Unite și Europa.
Actualizare 29 februarie, 19:57 EST: Povestea și titlul revizuite pentru a face clar că avertizarea se referă la echipamentele VPN Ivanti Connect Secure și Ivanti Policy Secure.
FBI, CISA avertizează spitalele americane cu privire la atacurile țintite de ransomware BlackCat
CISA ordonă agențiilor federale să deconecteze echipamentele VPN Ivanti până sâmbătă
CISA: Vulnerabilitatea critică de bypass de autentificare Ivanti acum exploatată activ
Hackerii ruși trec la atacuri în cloud, SUA și aliații avertizează
Guvernul american împărtășește sfaturi de apărare împotriva cyberatacurilor pentru utilitățile de apă
Leave a Reply