Les acteurs malveillants exploitent une faille de sécurité récemment révélée affectant les passerelles Ivanti Connect Secure, Policy Secure et ZTA pour déployer une porte dérobée nommée DSLog sur les appareils sensibles.
C’est selon résultats d’Orange Cyberdefense, qui a déclaré avoir observé l’exploitation du CVE-2024-21893 quelques heures après la publication publique du code de preuve de concept (PoC).
CVE-2024-21893, qui a été divulgué par Ivanti à la fin du mois dernier aux côtés de CVE-2024-21888, fait référence à une vulnérabilité de falsification de requête côté serveur (SSRF) dans le module SAML qui, si elle est exploitée avec succès, pourrait permettre l’accès à des ressources autrement restreintes. sans aucune authentification.
La société basée dans l’Utah a depuis reconnu que la faille limitait les attaques ciblées, même si l’ampleur exacte des compromissions n’est pas claire.
Puis, la semaine dernière, la Shadowserver Foundation a révélé une recrudescence des tentatives d’exploitation ciblant la vulnérabilité provenant de plus de 170 adresses IP uniques, peu après Rapid7 et AssetNote. partagé spécificités techniques supplémentaires.
La dernière analyse d’Orange Cyberdefense montre que des compromissions ont été détectées dès le 3 février, l’attaque ciblant un client anonyme pour injecter une porte dérobée qui accorde un accès à distance persistant.
« La porte dérobée est insérée dans un fichier Perl existant appelé ‘DSLog.pm' », a déclaré la société, soulignant un modèle continu dans lequel des composants légitimes existants – dans ce cas, un module de journalisation – sont modifiés pour ajouter le code malveillant.
DSLog, l’implant, est équipé de ses propres astuces pour entraver l’analyse et la détection, notamment l’intégration d’un hachage unique par appareil, rendant ainsi impossible l’utilisation du hachage pour contacter la même porte dérobée sur un autre appareil.
La même valeur de hachage est fournie par les attaquants au Champ d’en-tête User-Agent dans une requête HTTP adressée à l’appliance pour permettre au malware d’extraire la commande à exécuter à partir d’un paramètre de requête appelé « cdi ». L’instruction décodée est ensuite exécutée en tant qu’utilisateur root.
« Le shell Web ne renvoie pas de statut/code lorsqu’on tente de le contacter », a déclaré Orange Cyberdefense. « Il n’existe aucun moyen connu de le détecter directement. »
Il a en outre observé des preuves selon lesquelles des acteurs malveillants effaçaient les journaux « .access » sur « plusieurs » appareils dans le but de dissimuler la piste médico-légale et de passer inaperçus.
Mais en vérifiant les artefacts créés lors du déclenchement de la vulnérabilité SSRF, la société a déclaré avoir été en mesure de détecter 670 actifs compromis lors d’une première analyse le 3 février, un nombre qui est tombé à 524 le 7 février.
Compte tenu de l’exploitation continue des appareils Ivanti, il est hautement recommandé que « tous les clients réinitialisent leur appareil en usine avant d’appliquer le correctif pour empêcher l’acteur malveillant d’obtenir la persistance de la mise à niveau dans votre environnement ».