疑似中國國家級駭客利用 Ivanti 雲端服務設備 (CSA) 中的零日漏洞發動攻擊

Ivanti Cloud Service Appliance (CSA) 的三個零日漏洞遭到駭客利用

Photo Credit: The Hacker News

Fortinet (網路安全公司) FortiGuard Labs 的研究人員警告,疑似國家支持的網路威脅者正在利用 Ivanti (IT軟體公司) 雲端服務設備 Cloud Service Appliance (CSA) 中的三個零日漏洞來進行惡意活動。

這三個漏洞分別是:

  • CVE-2024-9380 (CVSS 分數:7.2) – Ivanti CSA 5.0.2 之前版本的管理員網頁控制台中存在的作業系統指令注入漏洞。具有管理員權限的遠端身份驗證攻擊者可利用該漏洞執行遠端程式碼。
  • CVE-2024-8190 (CVSS 分數:7.2) – Ivanti CSA 4.6 Patch 518 及之前版本中的指令注入漏洞。具備管理員權限的遠端身份驗證攻擊者可利用此漏洞進行遠端程式碼的執行。
  • CVE-2024-8963 (CVSS 分數:9.4) – Ivanti CSA 4.6 Patch 519 之前的版本存在路徑遍歷 (path traversal) 漏洞。未經身份驗證的遠端攻擊者可利用此漏洞存取部分功能。

而其中最主要的漏洞是 CVE-2024-8190,它允許遠端執行程式碼。然而,利用該漏洞需要更高的權限,攻擊者將此漏洞與其他 CSA 漏洞(例如 CVE-2024-8963、CVE-2024-9379 和 CVE-2024-9380)聯合起來利用,以達到認證所需。

根據網路安全公司 Fortinet 的分析,攻擊者利用這些 CSA 零日漏洞入侵系統,然後進行橫向移動、部署 web shell (一種網頁惡意程式)、蒐集資訊、進行掃描和暴力破解攻擊 (Brute-force attack),並利用被駭的 Ivanti 設備來代理流量 (proxying traffic)。

Fortinet 的公告指出:「我們觀察到有高階網路攻擊者利用這三個影響 Ivanti CSA 的漏洞。在我們著手調查時,這其中的兩個漏洞還尚未被公開。此次事件顯示了網路威脅者如何串聯多個零日漏洞以取得目標網路的初始存取權。」

網路攻擊者利用零日漏洞獲取未經身份驗證的 CSA 存取權,列舉 (enumerate) CSA 設備中的用戶,並試圖取得他們的憑證。一旦攻擊者取得了 gsbadmin 和 admin 憑證後,便可利用 /gsb/reports.php 中的指令注入漏洞,並且部署一種web shell「help.php」。

2024 年 9 月 10 日,Ivanti 針對 CVE-2024-8190 發布了通報,遭駭網路中的威脅攻擊者「修補」了在 DateTimeTab.php 和 reports.php 中被利用的指令注入漏洞,其原因可能是為了防範其他入侵者也利用這些漏洞。攻擊者將參數 TW_ID 和 TIMEZONE 中的分號替換為底線,致使這些漏洞無效。此技術已經過測試證實,由此可以看出網路攻擊者試圖獨佔侵入環境的存取權。

Fortinet 的研究人員在進行記憶體分析時發現,網路威脅者使用了一種名為 ReverseSocks5 的代理工具,透過 CSA 設備發動內部網路攻擊。2024 年 9 月 7 日的日誌顯示,攻擊者試圖在受感染的系統上部署 Linux 核心模組 rootkit (偽裝成驅動程式載入到作業系統核心中的惡意軟體),可能是為了即使設備恢復出廠設置,依舊能夠維持持續性的存取權限。這部分也與之前 Ivanti CSA 設備遭入侵的報告內容一致。

報告總結道:「我們觀察到有高階的網路攻擊者利用並串聯零日漏洞,藉以建立進軍目標網路的前哨站。更多關於 Ivanti CSA 零日攻擊的詳情可參閱我們的威脅信號報告https://www.fortiguard.com/threat-signal-report/5556。」

Fortinet 也提到,這次攻擊可能是由某個國家支持的駭客組織所發動的,目前尚未確認具體的威脅組織身份。然而,有研究人員指出,Fortinet 公布的一個作為入侵指標 (IoC) 的 IP,先前曾被歸咎於 UNC4841,這是一個與中國有關聯的駭客組織,該組織在 2023 年末被發現到他們利用網路設備廠商 Barracuda 產品的零日漏洞進行活動。

眾所周知,中國支持的駭客組織會在其行動中利用 Ivanti 產品的零日漏洞。另外值得注意的是,Fortinet 的最新報告中提到,部分觀察到的惡意活動與之前中國有關聯的 Ivanti 網路攻擊事件非常類似。

Ivanti CSA零日漏洞相關的部分的入侵指標(IOCs):

64efc1aad330ea9d98c0c705e16cd4b3af7e74f8

beb723a5f20a1a2c4375f9aa250d968d55155689

6edd7b3123de985846a805931ca8ee5f6f7ed7b160144aa0e066967bc7c0423a

8d016d02f8fbe25dce76481a90dd0b48630ce9e74e8c31ba007cf133e48b8526

d57a2cac394a778e19ce9b926f2e0a71936510798f30d20f207f2a49b49ce7b1

Mirai殭屍網路利用 Ivanti Connect Secure漏洞進行惡意負載傳輸

最近揭露的 Ivanti Connect Secure (ICS) 設備中的兩個安全漏洞正被用來部署臭名昭著的Mirai 殭屍網路。

根據Jupiter威脅實驗室的研究人員報告稱 ,駭客正在利用Connect Secure (ICS) 和Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。CVE-2023-46805(CVSS 評分 8.2) 存在於 Ivanti ICS 9.x、22.x 和 Ivanti Policy Secure 的 Web 元件中,是一個驗證繞過漏洞,攻擊者可透過繞過控制檢查來存取受限資源而 CVE-2024-21887 是一個命令注入漏洞(CVSS 評分 9.1),是 Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的指令注入漏洞,經過身份驗證的管理員可以透過發送特製請求並在裝置上執行任意命令來利用該漏洞。攻擊者可以連結這兩個漏洞向未修補的系統發送特製請求並執行任意命令。

Ivanti發布的公告稱,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用該漏洞不需要身份驗證,並使攻擊者能夠製作惡意請求並在系統上執行任意命令。

據觀察到的實例攻擊者利用 CVE-2023-46805 漏洞取得端點「/api/v1/license/key-status/;」的存取權限。然後攻擊者利用命令注入漏洞來注入他們的有效負載。

以下是專家觀察到的攻擊中使用的請求:

GET /api/v1/totp/user-backup-code/../../license/keys-status/{Any Command}

觀察到攻擊者使用curl和基於Python的反向shell來利用此漏洞的實例,使他們能夠控制易受攻擊的系統。專家表示,遇到了透過 shell 腳本傳遞的 Mirai 有效負載。觀察到的請求之一包括一個編碼的 URL,解碼後會顯示一個命令序列,試圖擦除檔案、從遠端伺服器下載腳本、設定可執行權限並執行腳本。然後腳本瀏覽系統目錄,從特定 URL 下載檔案,授予執行該檔案的權限,並使用特定參數運行它。研究人員分析了有效負載,並將其識別為 Mirai機器人網路。

Photo Credit:Jupiter

研究人員進一步說,越來越多的人嘗試利用 Ivanti Pulse Secure 的身份驗證繞過和遠端程式碼執行漏洞,這對網路安全構成了重大威脅。透過這些漏洞傳播 Mirai 殭屍網路的發現突顯了網路威脅不斷變化的格局。Mirai 透過此漏洞傳播的事實也意味著其他有害惡意軟體和勒索軟體的部署也是可以預料的。因此了解如何利用這些漏洞並識別它們造成的特定威脅對於防範潛在風險至關重要。

有關Mirai殭屍網路的部分入侵指標(Indicator of compromise -IOCs):

53f6cedcf89fccdcb6b4b9c7c756f73be3e027645548ee7370fd3486840099c4

67d989388b188a817a4d006503e5350a1a2af7eb64006ec6ad6acc51e29fdcd5

9b5fe87aaa4f7ae1c375276bfe36bc862a150478db37450858bbfb3fb81123c2

3e785100c227af58767f253e4dfe937b2aa755c363a1497099b63e3079209800

5b20ed646362a2c6cdc5ca0a79850c7d816248c7fd5f5203ce598a4acd509f6b

c27b64277c3d14b4c78f42ca9ee2438b602416f988f06cb1a3e026eab2425ffc

史無前例 美國CISA下令聯邦機構緊急在48小時內斷開Ivanti VPN 設備的連接

Photo Credit: CISA

為了應對受入侵的 Ivanti VPN 設備造成的重大威脅和重大安全漏洞風險,CISA採取了史無前例的舉措,要求聯邦機構在48 小時內斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有實例。

CISA 已命令美國聯邦機構在周六之前斷開所有易受多個活躍漏洞攻擊的 Ivanti Connect Secure 和 Policy Secure VPN 設備的連線。該機構在一份新的緊急指令中表示:“盡快且不晚於2024 年2 月2 日星期五晚上11:59,斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例與機構網路的連接” ,該指令加大了壓力幫助防禦者緩解至少三個在被積極利用的 Ivanti 安全漏洞。

CISA 正在推動聯邦民事行政部門 (FCEB) 機構“繼續對連接到或最近連接到受影響的 Ivanti 設備的任何系統進行威脅搜尋”,並監控可能暴露的身份驗證或身份管理服務。該機構表示,聯邦網路管理員還必須在 48 小時內最大程度地將系統與任何企業資源隔離,並繼續審核特權等級存取帳號。為了使產品重新投入使用,CISA 表示,各機構需要匯出設備配置設定,按照 Ivanti 的說明完成出廠重置,並重建設備並升級到完全修補的軟體版本。

自去年 12 月以來,中國國家級駭客已經利用了至少兩個 Ivanti Connect Secure 漏洞,分別為 CVE-2023-46805CVE-2024-21887。 Ivanti 週三表示,它還發現了兩個額外的漏洞——CVE-2024-21888 和 CVE-2024-21893——後者已經被用於「有針對性的」攻擊。 CISA 先前表示,它還觀察到一些針對聯邦機構的初步目標。

Ivanti 記錄了四個獨立的漏洞:

  • CVE-2023-46805 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure 的 Web 元件中存在驗證繞過漏洞,允許遠端攻擊者繞過控制檢查來存取受限資源。 CVSS 嚴重性評分為8.2,已確認為被利用零日漏洞。
  • CVE-2024-21887 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的命令注入漏洞允許經過驗證的管理員發送特製請求並在裝置上執行任意命令。該漏洞可透過網路被利用。 CVSS評分為 9.1並已確認被利用。
  • CVE-2024-21888 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure(9.x、22.x)的 Web 元件中存在權限提升漏洞,允許使用者將權限提升至行政人員,CVSS 評分為8.8。
  • CVE-2024-21893 — Ivanti Connect Secure(9.x、22.x)、Ivanti Policy Secure(9.x、22.x)和 Ivanti Neurons for ZTA 的 SAML 元件中存在伺服器端請求偽造漏洞,允許攻擊者無需身份驗證即可存取某些受限資源。 CVSS 嚴重性評分 8.2並已確認有針對性的利用。

Ivanti還警告說,情況仍在不斷發展,多個威脅行為者迅速調整其策略、技術和程序,以在其活動中利用這些漏洞。Ivanti稱,CVE-2024-21893 的利用似乎是有針對性的。 Ivanti 預計威脅行為者會改變他們的行為,並且預計一旦該資訊公開,利用行為就會急劇增加。Ivanti 表示,情況仍在不斷發展,將隨著更多資訊的出現,更新其知識庫文章,該軟體公司建議透過下載入口網站匯入「mitigation.release.20240126.5.xml」檔案作為解決 CVE-2024-21888 和 CVE-2024-21893 的臨時解決方法。

三週前,Volexity 首次發現了對這些漏洞的利用,並警告說,中國政府支持的 APT 駭客團隊UNC5221已經建立了一條漏洞鏈來入侵美國組織。 資安公司 Volexity 的創辦人 Steven Adair表示,迄今為止,至少 2,200 台 Ivanti 設備已遭到入侵。這比該公司本月稍早追蹤的 1,700 人增加了 500 人,不過 Volexity 指出「總數可能要高得多」。

資安業者Mandiant則透露駭客透過自動化方法進行的「廣泛的利用活動」,並指出與中國有關的駭客早在 2023 年 12 月 3 日就已經發現了這些漏洞。《安全周刊》消息人士稱,網絡犯罪組織已利用公開的漏洞部署加密器和後門。

Ivanti Connect Secure VPN的部分入侵指標(Indicator of compromise -IOCs):

美國CISA將 Ivanti Connect Secure 和 Microsoft SharePoint 漏洞新增至其已知遭濫用之漏洞清單 聯邦機構須於2024 年 1 月 31 日前修補這些漏洞

Photo Credit: CISA

1 月 11 日,美國網路安全與基礎設施安全局 (CISA) (Known Exploited Vulnerabilities (KEV) catalog)新增了 Ivanti Connect Secure 和 Policy Secure 漏洞(編號為CVE-2024-21887CVE-2023-46805)以及 Microsoft SharePoint Server 漏洞(編號為CVE- 2023-29357) 在其已知遭濫漏洞清單中。

1 月 10 日,軟體公司 Ivanti報告稱,駭客在利用其 Connect Secure (ICS) 和 Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。漏洞編號為 CVE-2023-46805,嚴重程度評分為 8.2。它允許駭客「透過繞過控制檢查來存取受限資源」。另一個漏洞 CVE-2024-21887 可協助攻擊者向設備發送命令,嚴重程度為 9.1。攻擊者可以連結這兩個漏洞,向未修補的系統發送特製請求並執行任意命令。

Ivanti 發布的公告,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用漏洞可不需要身份驗證,並使駭客能夠製作惡意請求並在系統上執行任意命令。該公司正在提供緩解措施,並確認正在開發安全修補程式,最終修補將於 2 月 19 日內發布。

另外,資安公司Volexity 研究人員觀察到駭客已積極在利用這兩個零日漏洞。2023 年 12 月,Volexity 調查了一次攻擊,攻擊者利用這些漏洞在多個內部和面向外部的 Web 伺服器上放置 Webshel​​l。

此外新增至 CISA KEV 清單的第三個漏洞是 Microsoft SharePoint Server 權限升級漏洞CVE-2023-29357,未經身份驗證的攻擊者獲得偽造 JWT (JSON Web Token)身份驗證令牌存取權限,使用它們來執行繞過身份驗證的網路攻擊,並允許他們獲得經過身份驗證的用戶的權限。漏洞可允許未經身份驗證的攻擊者在成功利用不需要使用者互動的低複雜度攻擊後獲得管理權限。

根據約束性操作指令22-01( Binding Operational Directive 22-01 ) ,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB),都必須針對相關漏洞進行處理,在截止日期前解決已識別的漏洞,以保護其網路免受利用清單中的漏洞攻擊,專家也建議私人機構審查KEV清單並解決其基礎設施中的漏洞。

CISA 命令聯邦機構在 2024 年 1 月 31 日之前修復以上三個漏洞。

Ivanti Connect Secure漏洞的部分入侵指標(Indicator of compromise -IOCs):
206.189.208.156
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
75.145.243.85
71.127.149.194
173.53.43.7

多個勒索軟體持續利用Veeam去年修補的Backup & Replication中的高風險漏洞

利用該漏洞Akira勒索軟體,從初始登入到資料洩露的整個操作,僅花了 133 分鐘

Photo Credit: Veeam

備份軟體Veeam Backup & Replication中的漏洞CVE-2023-27532(CVSS風險評為7.5分),此漏洞的根源發生在Veeam.Backup.Service.exe元件。網路攻擊者可以利用這個漏洞來取得組態資料庫(configuration database)中儲存的加密憑證,從中取得備份基礎設施主機(backup infrastructure hosts)的存取權限。

該漏洞已於2023年3月獲得修補,不久後該漏洞的PoC漏洞利用程式碼(PoC exploit code)也被公開發布。

有關專家觀察到,俄羅斯網路犯罪組織FIN7自2023年4月以來一直在利用該漏洞。

2023年8月,發現古巴勒索軟體集團利用該漏洞進行攻擊後不久,美國網際安全暨基礎設施安全局CISA將 CVE-2023-27532 增加到其已知遭濫用之漏洞清單中。

新加坡威脅情報公司Group-IB研究人員也發現了一個勒索軟體組織利用了 Veeam Backup & Replication中的漏洞。有關專家的報告指出,2024年4月,EstateRansomware勒索軟體集團使用PoC漏洞利用程式碼來攻擊漏洞CVE-2023-27532。

在網路安全公司BlackBerry 的報告中揭露,於2024年6月,網路攻擊團體利用Akira勒索軟體攻擊了一家拉丁美洲航空公司。對目標網路的初始存取是透過 Secure Shell (SSH) 協定進行的,攻擊者在第二天部署Akira勒索軟體之前竊取了關鍵資料。一旦資料外洩成功,攻擊者就會部署勒索軟體來加密受感染的系統。Akira是一種勒索軟體,利用CVE-2023-27532的漏洞來攻擊鎖定的目標、創建未授權帳戶並竊取受害者數據。一旦進入網絡,攻擊者就會創建一個名為“backup”的account,並將其增加到管理員群組中以確保提升的權限。攻擊者部署了合法的網路管理工具Advanced IP Scanner來掃描透過route print識別的本地子網路。整個操作,從初始入侵到資料洩露,僅花了 133 分鐘。

據了解,操作Akira的駭客團體可能利用企業尚未修補的Veeam Backup & Replication漏洞,進而執行初始存取、部署各種後脅迫(post-exploitation)工具、執行Active Directory偵察並癱瘓安全防護產品。

Veeam備份資料的所有權是透過Veeam備份資料夾取得的,而網路攻擊者則從其他系統壓縮和上傳資料。此備份中包含文件、圖像和電子表格等常見的文件類型,勒索軟體集團企圖藉由收集並利用機密和有價值的數據來獲取自己的經濟利益。

Veeam 漏洞事件的部分的入侵指標(IOCs):

2c56e9beea9f0801e0110a7dc5549b4fa0661362                 

5e460a517f0579b831b09ec99ef158ac0dd3d4fa                 

107ec3a7ed7ad908774ad18e3e03d4b999d4690c