Deux failles zero-day identifiées dans Ivanti Connect Secure (ICS) et Policy Secure ont été enchaînées par des acteurs étatiques soupçonnés d’être liés à la Chine pour pirater moins de 10 utilisateurs.
La société de cybersécurité Volexity, qui identifié l’activité sur le réseau d’un de ses clients au cours de la deuxième semaine de décembre 2023, l’a attribuée à un groupe de hackers qu’il traque sous le nom UTA0178. Il existe des preuves suggérant que l’appliance VPN pourrait avoir été compromise dès le 3 décembre 2023.
Les deux vulnérabilités qui ont été exploitées dans la nature pour permettre l’exécution de commandes non authentifiées sur le périphérique ICS sont les suivantes :
- CVE-2023-46805 (score CVSS : 8,2) – Une vulnérabilité de contournement d’authentification dans le composant Web d’Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure permet à un attaquant distant d’accéder à des ressources restreintes en contournant les contrôles de contrôle.
- CVE-2024-21887 (score CVSS : 9,1) – Une vulnérabilité d’injection de commandes dans les composants Web d’Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure permet à un administrateur authentifié d’envoyer des requêtes spécialement conçues et d’exécuter des commandes arbitraires sur l’appliance.
Les vulnérabilités peuvent être transformées en chaîne d’exploitation pour prendre en charge les instances sensibles sur Internet.
« Si CVE-2024-21887 est utilisé conjointement avec CVE-2023-46805, l’exploitation ne nécessite pas d’authentification et permet à un acteur malveillant de créer des requêtes malveillantes et d’exécuter des commandes arbitraires sur le système », Ivanti dit dans un avis.
La société a déclaré avoir observé des tentatives de la part des acteurs malveillants de manipuler le vérificateur d’intégrité interne d’Ivanti (TIC), qui offre un instantané de l’état actuel de l’appliance.
Les correctifs devraient être publiés de manière échelonnée à partir de la semaine du 22 janvier 2024. Entre-temps, il a été recommandé aux utilisateurs d’appliquer une solution de contournement pour se protéger contre les menaces potentielles.
Dans l’incident analysé par Volexity, les deux failles auraient été utilisées pour « voler des données de configuration, modifier des fichiers existants, télécharger des fichiers distants et inverser le tunnel depuis l’appliance VPN ICS ».
L’attaquant a ensuite modifié un fichier CGI légitime (compcheck.cgi) sur l’appliance VPN ICS pour permettre l’exécution de commandes. De plus, un fichier JavaScript chargé par la page de connexion Web SSL VPN a été modifié pour enregistrer les frappes au clavier et exfiltrer les informations d’identification associées aux utilisateurs se connectant à l’appareil.
« Les informations et les informations d’identification collectées par l’attaquant lui ont permis de se tourner vers une poignée de systèmes en interne et, finalement, d’obtenir un accès illimité aux systèmes du réseau », ont déclaré les chercheurs de Volexity Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair et Thomas Lancaster. dit.
Les attaques se caractérisent également par des efforts de reconnaissance, des mouvements latéraux et le déploiement d’un shell Web personnalisé baptisé GLASSTOKEN via le fichier CGI de porte dérobée pour maintenir un accès à distance persistant aux serveurs Web externes.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), dans un alerte de sa propre initiative, a déclaré avoir ajouté les deux lacunes à ses vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer les correctifs d’ici le 31 janvier 2024.
« Les systèmes accessibles à Internet, en particulier les appareils critiques comme Appliances VPN et pare-feusont redevenus une cible privilégiée des attaquants », a déclaré Volexity.
« Ces systèmes se trouvent souvent sur des parties critiques du réseau, ne peuvent pas exécuter de logiciels de sécurité traditionnels et se trouvent généralement à l’endroit idéal pour qu’un attaquant puisse opérer. Les organisations doivent s’assurer qu’elles ont mis en place une stratégie pour pouvoir surveiller l’activité de ces éléments. appareils et réagir rapidement si quelque chose d’inattendu se produit.