Alerta sobre la explotación activa de vulnerabilidades críticas del Día 0 que afectan a los productos Ivanti VPN
¡Estimado cliente!
Se ha actualizado el Instituto Nacional de Ciberdefensa del Servicio Nacional de Seguridad (NBSZ NKI)[1] suena una alarma, eso es
Conexión segura de Ivanti y eso Política de Ivanti segura sobre software 0. riesgo crítico diario debido a ciberataques destinados a explotar vulnerabilidades clasificadas.
Vulnerabilidades (CVE-2023-46805, CVE-2024-21887) todas las versiones compatibles de Ivanti Connect Secure (anteriormente Pulse Connect Secure): 9.x es 22.x – se tocan. La explotación combinada de estas vulnerabilidades plantea un importante riesgo de ciberseguridad, ya que permite a los atacantes eludir la autenticación y ejecutar de forma remota código que compromete el sistema afectado. por un compromiso total poder manejar.
Advertencia sobre explotación activa
La vulnerabilidad es Americano Basado en indicaciones de la Agencia de Seguridad Cibernética y de Infraestructura (CISA) y advertencias de los actores del mercado de ciberseguridad UNC5221 (mandante) UTA0178 (Volexidad) Los actores de amenazas anotados en los identificadores, presumiblemente con fines de ciberespionaje, lanzaron ataques dirigidos a la vulnerabilidad (ver: sección de Indicadores).
Medidas de protección recomendadas
Hasta el lanzamiento de la corrección de errores oficial (que vence la semana del 22 de enero), el fabricante ha publicado soluciones alternativas. Para los clientes afectados por la vulnerabilidad, recomendamos utilizar estos:
- Se recomienda familiarizarse con la información de seguridad del fabricante.[2] póngase en contacto con el soporte del fabricante.
- Para reducir el riesgo de seguridad de la vulnerabilidad, el fabricante recomienda una solución temporal. lanzamiento.20240107.1.xml importación de archivos. La aplicación del archivo puede afectar algunas funciones, según el fabricante, estas son las siguientes:
Administrador REST API-k
-
-
- La automatización de la API REST utilizada para la configuración y administración se ve afectada. Los administradores pueden acceder a las puertas de enlace a través de la interfaz GUI de GW.
-
Portal de usuario final (HTML5 avanzado)
-
-
- Esto solo se aplica a las solicitudes que activan un marcador HTML5 asignado dinámicamente; los marcadores HTML5 predefinidos existentes no se ven afectados.
-
Afecta la funcionalidad JSAM del usuario final.
La función de sobrescritura no está disponible cuando se ha aplicado la mitigación.
-
-
- Esto se aplica a la barra del navegador Rewriter.
-
Citrix StoreFront HTML5 se ve afectado
-
-
- Citrix Storefront con un cliente ICA que se conecta a través de CTS/WSAM no se ve afectado.
-
Inicie la instalación de PSAL automáticamente
-
-
- Esto solo afecta a nuevos usuarios o máquinas que no hayan iniciado sesión ni instalado PSAL previamente. Como solución alternativa, descargue e instale PSAL manualmente.
-
Configuración de CRL de administrador
-
-
- Los administradores no pueden cambiar la configuración de CRL. La función CRL no se ve afectada por la reducción de riesgos.
-
La funcionalidad de Profiler y Remote Profiler se ve significativamente afectada cuando se aplica la mitigación, pero aún permite la autenticación en el dispositivo IPS.
La autenticación adaptativa UEBA no está disponible cuando se aplica la mitigación.
3. La herramienta de verificación de integridad del fabricante. solicitud. Además de la versión integrada, Ivanti tiene una versión mejorada de la herramienta Integrity Checker que las organizaciones pueden descargar y ejecutar en VPN ICS.
Al ejecutar la herramienta Integrity Checker se reinicia el dispositivo ICS VPN, lo que provoca que el contenido de la memoria del sistema se sobrescriba en gran medida. Si Si hay signos de compromiso antes de ejecutar la herramienta, se recomienda no ejecutarla hasta que se haya recopilado la memoria y otras pruebas.
Después del guardado local, la herramienta se ejecuta cargando un paquete en el servidor e instalándolo como un Service Pack. Luego, la herramienta se ejecutará y mostrará sus resultados en la pantalla. Esto incluye si ha descubierto archivos nuevos o inapropiados.
Después de que se reinicie el dispositivo ICS VPN, se guardará una instantánea cifrada de los archivos inesperados y estará disponible para descargar. Este archivo se puede proporcionar a Ivanti para su descifrado y contiene una copia archivada de los archivos inesperados identificados.
Más detalles sobre la herramienta, cómo descargar e instalar la KB44755 se puede encontrar en el documento.
Indicadores de compromiso (IoC):
A continuación se muestra una lista de archivos clave identificados por Volexity en la siguiente tabla.
Nombre del archivo | Descripción | ¿Para qué sirve? |
/home/perl/DSLogConfig.pm | Módulo Perl modificado | Diseñado para ejecutar servidor de sesiones.pl |
/home/etc/sql/dsserver/sessionserver.pl | Script Perl para volver a montar el sistema de archivos con acceso de lectura/escritura | Hacer servidor de sesiones.sh ejecutable, ejecútelo y luego restaure la configuración de montaje original |
/home/etc/sql/dsserver/sessionserver.sh | Guión ejecutado por servidor de sesiones.pl | Utiliza expresiones regulares para modificar compcheckresult.cgi insertar un webshell en él; también crea una serie de entradas en archivos asociados con la herramienta de verificación de integridad incorporada para evadir la detección cuando se ejecutan análisis periódicos. |
/home/webserver/htdocs/dana-na/auth/compcheckresult.cgi | Componente legítimo modificado del dispositivo ICS VPN, con nuevas importaciones de módulos Perl agregadas y una línea para ejecutar comandos basados en los parámetros de la solicitud. | Permite la ejecución remota de código a través de Internet si el atacante puede crear solicitudes con los parámetros correctos. |
/home/webserver/htdocs/dana-na/auth/lastauthserverused.js | Componente JavaScript legítimo modificado cargado por la página de inicio de sesión del usuario del componente Web SSL VPN de ICS | Modificado para recopilar las credenciales ingresadas y enviarlas a una URL remota en un dominio controlado por un atacante |
Es importante que las organizaciones que operan ICS VPN revisen sus registros de red, telemetría de red y resultados de la herramienta Integrity Checker (pasados y actuales) para detectar signos de compromiso exitoso.
Valor | Tipo | Descripción |
206.189.208[.]156 | dirección IP | Dirección IP de DigitalOcean vinculada a UTA0178 |
gpoacceso[.]com | nombre de host | Dominio sospechoso UTA0178 descubierto a través de patrones de registro de dominio |
instituto-webb[.]com | nombre de host | Dominio sospechoso UTA0178 descubierto a través de patrones de registro de dominio |
simantke[.]com | nombre de host | Dominio UTA0178 utilizado para recopilar credenciales de dispositivos comprometidos |
75.145.243[.]85 | dirección IP | Dirección IP UTA0178 observada interactuando con el dispositivo comprometido |
47.207.9[.]89 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
98.160.48[.]170 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
173.220.106[.]166 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
73.128.178[.]221 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
50.243.177[.]161 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
50.213.208[.]89 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
64.24.179[.]210 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
75.145.224[.]109 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
50.215.39[.]49 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
71.127.149[.]194 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
173.53.43[.]7 | dirección IP | Dirección IP UTA0178 observada interactuando con un dispositivo comprometido vinculado a la red proxy Cyberoam |
Basado en alertas de ciberseguridad cinco malware únicos Se supo que los actores de amenazas lo implementaban durante los ataques para mantener el acceso a largo plazo, instalar cargas útiles maliciosas adicionales y robar credenciales.
La lista de herramientas utilizadas en los ataques identificados por Volexity y Mandiant hasta el momento:
Puerta trasera pasiva de tirolesa | (nombre de archivo: libsecure.so.1) software malicioso único capaz de interceptar el tráfico de red, admite operaciones de carga/descarga, crea shells inversos, servidores proxy y túneles de servidor. |
Cáscara web Wirefire | (nombre de archivo: visits.py) Shell web personalizado basado en Python que admite la ejecución de comandos arbitrarios no autenticados y la instalación de carga útil. |
Carcasa web Lightwire | (nombre de archivo: compcheckresult.cgi) Un shell web único escrito en Perl, incrustado en un archivo legítimo, que permite la ejecución de comandos arbitrarios. |
Cosechadora de alambre de urdimbre | (nombre de archivo: lastauthserverused.js) Una herramienta única basada en JavaScript para recopilar credenciales al iniciar sesión y luego enviarlas a un servidor de comando y control (C2). |
Túneles PySoxy | Facilita la canalización del tráfico de red de forma sigilosa. |
Caja ocupada | Un programa binario con múltiples llamadas que combina varias utilidades de Unix utilizadas para diversas tareas del sistema. |
Gotero Thinspool | Un cuentagotas de script de shell personalizado que escribe el shell web Lightwire en Ivanti CS, lo que garantiza la persistencia. |
Utilidad Thinspool | (nombre de archivo: sessionerver.sh): Se utiliza para volver a montar el sistema de archivos como “lectura/escritura” para permitir la instalación de malware. |
Los indicadores relacionados también se pueden descargar desde la página de Volexity GitHub:
NIÑOS normas
Enlaces:
[1] https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-ivanti-termekeket-erinto-0-napi-kritikus-serulekenysegekrol/
[2] https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure- ¿Puertas de enlace?language=en_US
[3] https://www.volexity.com/blog/2024/01/10/explotación-activa-de-dos-vulnerabilidades-de-día-cero-en-ivanti-connect-secure-vpn/
[4] https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
Servicio de Seguridad Nacional
Instituto Nacional de Ciberdefensa
Teléfono: +36-1-336-4833
Reporte de incidente: csirt@nki.gov.hu