Tehdit aktörleri, Ivanti Connect Secure, Policy Secure ve ZTA ağ geçitlerini etkileyen yakın zamanda açıklanan bir güvenlik açığından yararlanarak kod adlı bir arka kapı dağıtıyor. DSLog duyarlı cihazlarda.
Orange Cyberdefense’in bulgularına göre bu, kavram kanıtlama (PoC) kodunun kamuya açıklanmasından birkaç saat sonra CVE-2024-21893’ün kullanıldığını gözlemlediğini söyledi.
Geçtiğimiz ayın sonlarında Ivanti tarafından CVE-2024-21888 ile birlikte açıklanan CVE-2024-21893, SAML modülünde, başarılı bir şekilde kullanılması durumunda, başka şekilde kısıtlanan kaynaklara erişime izin verebilecek sunucu tarafı istek sahteciliği (SSRF) güvenlik açığına işaret ediyor herhangi bir kimlik doğrulaması olmadan.
Utah merkezli şirket, o zamandan bu yana kusurun sınırlı hedefli saldırılara sahip olduğunu kabul etti, ancak uzlaşmaların kesin ölçeği belirsiz.
Geçtiğimiz hafta Shadowserver Vakfı, hem Rapid7 hem de AssetNote’un ek teknik özellikleri paylaşmasından kısa bir süre sonra, 170’in üzerinde benzersiz IP adresinden kaynaklanan güvenlik açığını hedef alan istismar girişimlerinde bir artış olduğunu ortaya çıkardı.
Orange Cyberdefense’in son analizi, saldırının kalıcı uzaktan erişim sağlayan bir arka kapı enjekte etmek üzere isimsiz bir müşteriyi hedef almasıyla birlikte, 3 Şubat gibi erken bir tarihte güvenlik ihlallerinin tespit edildiğini gösteriyor.
Şirket, “Arka kapı, ‘DSLog.pm’ adı verilen mevcut bir Perl dosyasına ekleniyor” dedi ve mevcut meşru bileşenlerin (bu durumda bir kayıt modülünün) kötü amaçlı kodu eklemek üzere değiştirildiği devam eden bir modelin altını çizdi.
İmplant olan DSLog, analiz ve algılamayı engelleyen, cihaz başına benzersiz bir hash yerleştirme de dahil olmak üzere kendi hileleriyle donatılmış olarak gelir ve böylece başka bir cihazda aynı arka kapıyla iletişim kurmak için hash’in kullanılmasını imkansız hale getirir.
Aynı hash değeri, kötü amaçlı yazılımın yürütülecek komutu “cdi” adı verilen bir sorgu parametresinden çıkarmasına izin vermek için, saldırganlar tarafından cihaza yapılan bir HTTP isteğinde Kullanıcı Aracısı başlık alanına sağlanır. Kodu çözülen talimat daha sonra kök kullanıcı olarak çalıştırılır.
Orange Cyberdefense, “Web kabuğu, onunla iletişim kurmaya çalışırken durum/kod döndürmüyor” dedi. “Bunu doğrudan tespit etmenin bilinen bir yolu yok.”
Ayrıca, tehdit aktörlerinin adli tıp izlerini gizlemek ve radarın altından geçmek amacıyla “birden fazla” cihazdaki “.access” günlüklerini sildiğine dair kanıtlar da gözlemlendi.
Ancak şirket, SSRF güvenlik açığını tetiklerken oluşturulan eserleri kontrol ederek, 3 Şubat’taki ilk tarama sırasında güvenliği ihlal edilmiş 670 varlığı tespit edebildiğini ve bu sayının 7 Şubat itibarıyla 524’e düştüğünü söyledi.
Ivanti cihazlarının sürekli olarak istismar edilmesi ışığında, “tehdit aktörünün ortamınızda yükseltme kalıcılığı kazanmasını önlemek için tüm müşterilerin yamayı uygulamadan önce cihazlarını fabrika ayarlarına sıfırlaması” önemle tavsiye edilir.