Tehdit aktörleri, Ivanti Connect Secure, Policy Secure ve ZTA ağ geçitlerini etkileyen yakın zamanda açıklanan bir güvenlik açığından yararlanarak kod adlı bir arka kapı dağıtıyor. DSLog duyarlı cihazlarda.
Buna göre bulgular Orange Cyberdefense’den, kavram kanıtlama (PoC) kodunun kamuya açıklanmasından birkaç saat sonra CVE-2024-21893’ün kullanıldığını gözlemlediğini söyledi.
Geçtiğimiz ayın sonlarında Ivanti tarafından CVE-2024-21888 ile birlikte açıklanan CVE-2024-21893, SAML modülünde, başarılı bir şekilde kullanılması durumunda, başka şekilde kısıtlanan kaynaklara erişime izin verebilecek sunucu tarafı istek sahteciliği (SSRF) güvenlik açığına işaret ediyor herhangi bir kimlik doğrulaması olmadan.
Utah merkezli şirket, o zamandan bu yana kusurun sınırlı hedefli saldırılara sahip olduğunu kabul etti, ancak uzlaşmaların kesin ölçeği belirsiz.
Ardından geçen hafta Shadowserver Vakfı, hem Rapid7 hem de AssetNote’tan kısa bir süre sonra 170’in üzerinde benzersiz IP adresinden kaynaklanan güvenlik açığını hedef alan istismar girişimlerinde bir artış olduğunu ortaya çıkardı. Paylaşıldı ek teknik özellikler.
Orange Cyberdefense’in son analizi, saldırının kalıcı uzaktan erişim sağlayan bir arka kapı enjekte etmek üzere isimsiz bir müşteriyi hedef almasıyla birlikte, 3 Şubat gibi erken bir tarihte güvenlik ihlallerinin tespit edildiğini gösteriyor.
Şirket, “Arka kapı, ‘DSLog.pm’ adı verilen mevcut bir Perl dosyasına ekleniyor” dedi ve mevcut meşru bileşenlerin (bu durumda bir kayıt modülünün) kötü amaçlı kodu eklemek üzere değiştirildiği devam eden bir modelin altını çizdi.
İmplant olan DSLog, analiz ve algılamayı engelleyen, cihaz başına benzersiz bir hash yerleştirme de dahil olmak üzere kendi hileleriyle donatılmış olarak gelir ve böylece başka bir cihazda aynı arka kapıyla iletişim kurmak için hash’in kullanılmasını imkansız hale getirir.
Saldırganlar tarafından aynı hash değeri sağlanır. Kullanıcı Aracısı başlık alanı Kötü amaçlı yazılımın yürütülecek komutu “cdi” adı verilen bir sorgu parametresinden çıkarmasına izin vermek için cihaza yapılan bir HTTP isteğinde. Kodu çözülen talimat daha sonra kök kullanıcı olarak çalıştırılır.
Orange Cyberdefense, “Web kabuğu, onunla iletişim kurmaya çalışırken durum/kod döndürmüyor” dedi. “Bunu doğrudan tespit etmenin bilinen bir yolu yok.”
Ayrıca, tehdit aktörlerinin adli tıp izlerini gizlemek ve radarın altından geçmek amacıyla “birden fazla” cihazdaki “.access” günlüklerini sildiğine dair kanıtlar da gözlemlendi.
Ancak şirket, SSRF güvenlik açığını tetiklerken oluşturulan eserleri kontrol ederek, 3 Şubat’taki ilk tarama sırasında güvenliği ihlal edilmiş 670 varlığı tespit edebildiğini ve bu sayının 7 Şubat itibarıyla 524’e düştüğünü söyledi.
Ivanti cihazlarının sürekli olarak kullanılmasının ışığında, Şiddetle tavsiye edilir “tehdit aktörünün ortamınızda yükseltme kalıcılığı kazanmasını önlemek için tüm müşteriler yamayı uygulamadan önce cihazlarını fabrika ayarlarına sıfırlar.”