Se observó a un presunto adversario de un estado-nación explotando tres vulnerabilidades de seguridad en Ivanti Cloud Service Appliance (CSA) en un día cero para llevar a cabo una serie de acciones maliciosas.
Según los hallazgos de Fortinet FortiGuard Labs, las vulnerabilidades fueron explotadas para obtener acceso no autenticado al CSA, enumerar los usuarios configurados en el dispositivo e intentar acceder a las credenciales de esos usuarios.
«Se ha observado que adversarios avanzados explotan y encadenan vulnerabilidades de día cero para establecer un acceso a la red de la víctima», dijeron los investigadores de seguridad Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans y Robert Reyes. dicho.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2024-8190 (Puntuación CVSS: 7,2) – Un error de inyección de comando en el recurso /gsb/DateTimeTab.php
- CVE-2024-8963 (Puntuación CVSS: 9,4): una vulnerabilidad de recorrido de ruta en el recurso /client/index.php
- CVE-2024-9380 (Puntuación CVSS: 7,2): una vulnerabilidad de inyección de comando autenticado que afecta al recurso informes.php
En el siguiente paso, las credenciales robadas asociadas con gsbadmin y admin se utilizaron para realizar una explotación autenticada de la vulnerabilidad de inyección de comandos que afecta al recurso /gsb/reports.php para colocar un shell web («help.php»).
“El 10 de septiembre de 2024, cuando Ivanti publicó el aviso para CVE-2024-8190, el actor malicioso, aún activo en la red del cliente, «parchó» las vulnerabilidades de inyección de comandos en los recursos /gsb/DateTimeTab.php y / gsb/reports.php, haciéndolos inutilizables.»
“En el pasado, se ha observado que actores maliciosos parchean vulnerabilidades después de explotarlas y afianzarse en la red de la víctima, para evitar que otros intrusos accedan a activos vulnerables y potencialmente interfieran con sus operaciones de ataque. «
Explotación de vulnerabilidades SQLi |
Los atacantes desconocidos también fueron identificados explotando CVE-2024-29824, una falla crítica que afecta a Ivanti Endpoint Manager (EPM), después de comprometer el dispositivo CSA con acceso a Internet. Específicamente, esto implicó habilitar el procedimiento almacenado xp_cmdshell para lograr la ejecución remota de código.
Vale la pena señalar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en la primera semana de octubre de 2024.
Algunas de las otras actividades incluyeron la creación de un nuevo usuario llamado mssqlsvc, la ejecución de comandos de descubrimiento y la extracción de los resultados de esos comandos a través de una técnica conocida como túnel DNS usando código PowerShell. También tenga en cuenta la implementación de un rootkit en forma de objeto del kernel de Linux (sysinitd.ko) en el dispositivo CSA comprometido.
«El motivo probable detrás de esto fue que el actor de la amenaza quería mantener la persistencia a nivel de kernel en el dispositivo CSA, que puede sobrevivir incluso a un restablecimiento de fábrica», dijeron los investigadores de Fortinet.