Ciência e Tecnologia

A contagem de vítimas de dia zero da Ivanti cresce à medida que a Mandiant entra em ação • Strong The One

.

Dois bugs de dia zero nos produtos Ivanti provavelmente foram atacados por ciberespiões já em dezembro, de acordo com a equipe de inteligência sobre ameaças da Mandiant.

A empresa de software divulgou as vulnerabilidades no Ivanti Connect Secure (ICS) – o dispositivo de servidor VPN anteriormente conhecido como Pulse Connect Secure – e seus gateways Policy Secure na quarta-feira. Na época, o negócio dizia que alguém ou algum grupo já havia encontrado e explorado os buracos. Um porta-voz da Ivanti disse Strong The One a contagem de vítimas foi “menos de 10”. Desde então, aumentou.

Esta situação é especialmente preocupante porque nenhuma das falhas tem patch – a Ivanti espera começar a implementá-las na semana de 22 de janeiro de forma escalonada e, enquanto isso, insta os clientes a implantarem mitigações “imediatamente”. E como observou Charles Carmakal, CTO da Mandiant Consulting: “Esses CVEs encadeados levam à execução remota de código não autenticado”.

Isso significa que essas falhas podem ser exploradas para assumir o controle dos dispositivos de rede Ivanti de uma organização e usá-los para aprofundar o ambiente de TI dessa organização. Os dois dias zero são: CVE-2023-46805, um bug de desvio de autenticação; e CVE-2024-21887, uma vulnerabilidade de injeção de comando.

Na sexta-feira, a Ivanti afirmou estar “ciente de menos de 20 clientes afetados pelas vulnerabilidades”.

A lista provavelmente continuará a crescer, à medida que mais organizações descobrirem que seus dispositivos estão comprometidos

No entanto, como disse Carmakal Strong The Oneesse número provavelmente aumentará.

“Estamos aprendendo sobre novas vítimas à medida que elas executam a ferramenta de verificação de integridade da Ivanti e vemos indicadores de comprometimento”, disse Carmakal. “A lista provavelmente continuará a crescer à medida que mais organizações executam a ferramenta e descobrem que seus dispositivos estão comprometidos”.

A Mandiant está trabalhando com a Ivanti para ajudar a limpar a bagunça e na sexta-feira fez sua própria análise inicial, prometendo acrescentar mais detalhes à medida que a investigação sobre o assunto continua.

Algumas partes da análise em particular se destacam. Primeiro, a Mandiant diz que identificou o abuso dos bugs já em dezembro por uma equipe de espionagem suspeita até então desconhecida que agora rastreia como UNC5221.

Sondagens anteriores da Volexity, que descobriu as falhas de dia zero e as relatou em particular à Ivanti, ligaram os atacantes à China. “A Volexity tem motivos para acreditar que o UTA0178 é um ator de ameaça em nível de estado-nação chinês”, disse na quarta-feira.

Quando questionado sobre uma possível ligação com a China, Carmakal disse que não há dados suficientes para atribuição.

Ao investigar os ataques, a Mandiant viu que o UNC5221 usou principalmente dispositivos Cyberoam VPN sequestrados em fim de vida útil como servidores de comando e controle em seus ataques aos clientes da Ivanti. “Esses dispositivos comprometidos eram domésticos das vítimas, o que provavelmente ajudou o autor da ameaça a escapar melhor da detecção”, escreveram os caçadores de ameaças.

Além disso, os invasores usaram vários malwares personalizados para obter persistência e evitar a detecção, permitindo acesso contínuo às redes das vítimas.

“Isso indica que estes não são ataques oportunistas, e o UNC5221 pretendia manter sua presença em um subconjunto de alvos de alta prioridade que comprometeu depois que um patch foi inevitavelmente lançado”, observou Mandiant.

Até agora, os caçadores de ameaças identificaram cinco famílias de malware personalizadas usadas pelo UNC5221 depois que ele se infiltra em um alvo por meio das falhas do Ivanti. Um deles é o Zipline, um backdoor que recebe comandos para executar em dispositivos comprometidos. Ele também suporta transferências de arquivos dentro e fora de equipamentos infectados, pode fornecer um servidor proxy e implementar um servidor de tunelamento.

Thinspool foi projetado para adicionar código webshell malicioso a arquivos legítimos. Isso ajuda os ciberespiões a estabelecer persistência nas redes comprometidas. Ele atua como o conta-gotas inicial para o webshell Lightwire. Ainda outro webshell, Wirefire, está armazenado em dispositivos Connect Secure para controle remoto dos dispositivos. Suporta download de arquivos e execução de comandos arbitrários.

Finalmente, por enquanto, existe o Warpwire, um coletor de credenciais que coleta senhas e nomes de usuário para aplicativos da camada 7 (como RDP) em texto simples e os envia para um servidor de comando e controle para os bisbilhoteiros usarem para obter ganhos. maior acesso aos serviços e sistemas das vítimas.

A Mandiant também compartilhou indicadores de comprometimento, então vale a pena conferir também. E, claro, aplique a mitigação antes de partir para o fim de semana. ®

.

Mostrar mais

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo