Un adversaire présumé d’un État-nation a été observé en train d’exploiter trois failles de sécurité dans Ivanti Cloud Service Appliance (CSA) un jour zéro pour effectuer une série d’actions malveillantes.
C’est ce que révèlent les conclusions de Fortinet FortiGuard Labs, selon lesquelles les vulnérabilités ont été exploitées pour obtenir un accès non authentifié au CSA, énumérer les utilisateurs configurés dans l’appliance et tenter d’accéder aux informations d’identification de ces utilisateurs.
« Les adversaires avancés ont été observés en train d’exploiter et d’enchaîner des vulnérabilités zero-day pour établir un accès tête de pont au réseau de la victime », ont déclaré les chercheurs en sécurité Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans et Robert Reyes. dit.
Les failles en question sont répertoriées ci-dessous –
- CVE-2024-8190 (score CVSS : 7,2) – Une faille d’injection de commande dans la ressource /gsb/DateTimeTab.php
- CVE-2024-8963 (score CVSS : 9,4) – Une vulnérabilité de traversée de chemin sur la ressource /client/index.php
- CVE-2024-9380 (score CVSS : 7,2) – Une vulnérabilité d’injection de commande authentifiée affectant la ressource reports.php
Dans l’étape suivante, les identifiants volés associés à gsbadmin et admin ont été utilisés pour effectuer une exploitation authentifiée de la vulnérabilité d’injection de commande affectant la ressource /gsb/reports.php afin de déposer un shell web (« help.php »).
« Le 10 septembre 2024, lorsque l’avis concernant CVE-2024-8190 a été publié par Ivanti, l’acteur malveillant, toujours actif dans le réseau du client, a « corrigé » les vulnérabilités d’injection de commandes dans les ressources /gsb/DateTimeTab.php, et /gsb/reports.php, les rendant inexploitables. »
« Dans le passé, il a été observé que les acteurs malveillants corrigeaient les vulnérabilités après les avoir exploitées et pris pied dans le réseau de la victime, afin d’empêcher tout autre intrus d’accéder aux actifs vulnérables et d’interférer potentiellement avec leurs opérations d’attaque. «
 |
| Exploitation des vulnérabilités SQLi |
Les attaquants inconnus ont également été identifiés en train d’exploiter CVE-2024-29824, une faille critique affectant Ivanti Endpoint Manager (EPM), après avoir compromis l’appliance CSA accessible sur Internet. Plus précisément, cela impliquait d’activer la procédure stockée xp_cmdshell pour réaliser l’exécution de code à distance.
Il convient de noter que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV) au cours de la première semaine d’octobre 2024.
Certaines des autres activités comprenaient la création d’un nouvel utilisateur appelé mssqlsvc, l’exécution de commandes de reconnaissance et l’exfiltration des résultats de ces commandes via une technique connue sous le nom de tunneling DNS utilisant le code PowerShell. A noter également le déploiement d’un rootkit sous la forme d’un objet du noyau Linux (sysinitd.ko) sur le périphérique CSA compromis.
« Le motif probable derrière cela était que l’acteur malveillant souhaitait maintenir la persistance au niveau du noyau sur le périphérique CSA, qui peut survivre même à une réinitialisation d’usine », ont déclaré les chercheurs de Fortinet.