Los actores de amenazas están aprovechando una falla de seguridad recientemente revelada que afecta las puertas de enlace Ivanti Connect Secure, Policy Secure y ZTA para implementar una puerta trasera con nombre en código. Registro DS en dispositivos susceptibles.
Eso es según recomendaciones de Orange Cyberdefense, que dijo que observó la explotación de CVE-2024-21893 pocas horas después de la publicación pública del código de prueba del concepto (PoC).
CVE-2024-21893, que Ivanti reveló a finales del mes pasado junto con CVE-2024-21888, se refiere a una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el módulo SAML que, si se explota con éxito, podría permitir el acceso a recursos que de otro modo estarían restringidos. sin ninguna autenticación.
Desde entonces, la empresa con sede en Utah ha reconocido que la falla ha limitado los ataques dirigidos, aunque la escala exacta de los compromisos no está clara.
Luego, la semana pasada, la Fundación Shadowserver reveló un aumento en los intentos de explotación dirigidos a la vulnerabilidad que se origina en más de 170 direcciones IP únicas, poco después de que Rapid7 y AssetNote compartido especificaciones técnicas adicionales.
El último análisis de Orange Cyberdefense muestra que se detectaron compromisos ya el 3 de febrero, con el ataque dirigido a un cliente anónimo para inyectar una puerta trasera que otorga acceso remoto persistente.
«La puerta trasera se inserta en un archivo Perl existente llamado ‘DSLog.pm'», dijo la compañía, destacando un patrón continuo en el que los componentes legítimos existentes (en este caso, un módulo de registro) se modifican para agregar el código malicioso.
DSLog, el implante, viene equipado con sus propios trucos para dificultar el análisis y la detección, incluida la incorporación de un hash único por dispositivo, lo que hace imposible utilizar el hash para contactar con la misma puerta trasera en otro dispositivo.
Los atacantes proporcionan el mismo valor hash al Campo de encabezado de agente de usuario en una solicitud HTTP al dispositivo para permitir que el malware extraiga el comando que se ejecutará desde un parámetro de consulta llamado «cdi». Luego, la instrucción decodificada se ejecuta como usuario root.
«El shell web no devuelve el estado/código al intentar contactarlo», dijo Orange Cyberdefense. «No se conoce ninguna forma de detectarlo directamente».
Además, observó evidencia de actores de amenazas que borraban registros «.access» en «múltiples» dispositivos en un intento por cubrir el rastro forense y pasar desapercibidos.
Pero al verificar los artefactos que se crearon al activar la vulnerabilidad SSRF, la compañía dijo que pudo detectar 670 activos comprometidos durante un escaneo inicial el 3 de febrero, un número que se redujo a 524 al 7 de febrero.
A la luz de la continua explotación de los dispositivos Ivanti, es muy recomendable que «todos los clientes restablezcan sus dispositivos de fábrica antes de aplicar el parche para evitar que el actor de amenazas obtenga persistencia de actualización en su entorno».