Під час нещодавніх атак зловмисники використовували три вразливості нульового дня в Ivanti Cloud Service Appliance (CSA).
Дослідники Fortinet FortiGuard Labs попереджають, що підозрювана національна держава використовує три вразливості нульового дня в Ivanti Cloud Service Appliance (CSA) для здійснення шкідливої діяльності.
Три вразливості, які використовує зловмисник, є наступними:
- CVE-2024-9380 (оцінка CVSS: 7.2) – уразливість впровадження команд ОС у веб-консолі адміністратора Ivanti CSA до версії 5.0.2. Віддалений аутентифікований зловмисник з правами адміністратора може використати уразливість для віддаленого виконання коду.
- CVE-2024-8190 (оцінка CVSS: 7.2) – Уразливість до командної ін’єкції в Ivanti Cloud Services Appliance версії 4.6 Patch 518 та вище. Віддалений аутентифікований зловмисник може використати цю уразливість для віддаленого виконання коду. Для використання даної уразливості зловмисник повинен мати привілеї рівня адміністратора.
- CVE-2024-8963 (оцінка CVSS: 9.4) – Обхід шляху в Ivanti CSA до версії 4.6 Патч 519. Віддалений неавторизований зловмисник може використати уразливість для доступу до обмеженої функціональності.
«Було помічено, що досвідчений зловмисник використовував три уразливості, що впливають на Ivanti Cloud Services Appliance (CSA). На момент нашого розслідування дві з трьох виявлених вразливостей не були відомі широкому загалу. Цей інцидент є яскравим прикладом того, як зловмисники використовують вразливості нульового дня, щоб отримати початковий доступ до мережі жертви», – йдеться в повідомленні Fortinet.
Зловмисники скористалися вразливостями нульового дня, щоб отримати неавторизований доступ до CSA, перерахувати користувачів, налаштованих на пристрої CSA, і спробувати отримати доступ до їхніх облікових даних. Отримавши облікові дані gsbadmin та admin, зловмисники використали їх для використання уразливості командної ін’єкції в файлі /gsb/reports.php та розгортання веб-оболонки («help.php»).
«Було виявлено, що ін’єкція команд використовувалася в наступному форматі, де php-скрипт /subin/tripwire виконувався з параметром -update, за яким слідувала крапка з комою і шкідлива команда», – йдеться в рекомендаціях.
«Перша шкідлива команда, введена суб’єктом загрози, була використана для створення веб-оболонки під назвою help.php у кореневій папці CSA в каталозі /gsb».
10 вересня 2024 року, після того, як Ivanti випустила рекомендацію для CVE-2024-8190, суб’єкт загрози, який все ще перебував у мережі жертви, «залатав» вразливості, пов’язані з введенням команд, у файлах DateTimeTab.php та reports.php, що, ймовірно, завадило іншим зловмисникам їх використати. Зловмисник замінив крапку з комою на підкреслення в POST-параметрах TW_ID та TIMEZONE, що зробило ці уразливості неефективними. Цей метод, підтверджений тестуванням, свідчить про наміри зловмисника отримати ексклюзивний доступ до скомпрометованого середовища.
Зловмисник створив кілька веб-оболонок і змінив легітимний файл syslog.php, додавши в нього шкідливий код, перетворивши його на веб-оболонку для подальшої експлуатації.
Під час аналізу пам’яті дослідники Fortinet знайшли докази того, що зловмисник використовував проксі-інструмент ReverseSocks5 для внутрішніх мережевих атак через пристрій CSA. 7 вересня 2024 року журнали зафіксували спробу розгортання руткіту модуля ядра Linux на скомпрометованих системах, який, ймовірно, зберігав постійний доступ навіть після скидання до заводських налаштувань. Це збігається з повідомленнями про компрометації пристроїв Ivanti CSA.
«Було помічено, що просунуті зловмисники використовували вразливості «нульового дня» для створення плацдарму для доступу до мережі жертви», – йдеться в повідомленні. Ви можете прочитати більше про атаку нульового дня на Ivanti CSA в нашому звіті Threat Signal Report: https://www.fortiguard.com/threat-signal-report/5556», – йдеться у висновках звіту.