Um adversário suspeito de ligação com um estado-nação foi observado manipulando três falhas de segurança no Ivanti Cloud Service Appliance (CSA), incluindo um zero-day, para realizar uma série de ações maliciosas.
Essas são as conclusões de pesquisas realizadas pela equipe da Fortinet FortiGuard Labs, que afirmou que as vulnerabilidades foram exploradas para obter acesso não autenticado ao CSA, listar usuários configurados no appliance e tentar acessar as credenciais desses usuários.
"Os adversários avançados foram observados explorando e encadeando vulnerabilidades zero-day para estabelecer um ponto de apoio na rede da vítima," disseram os pesquisadores de segurança Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans, e Robert Reyes.
As falhas em questão estão listadas abaixo:
CVE-2024-8190
(pontuação CVSS: 7.2) - Uma falha de injeção de comando no recurso /gsb/DateTimeTab.php
CVE-2024-8963
(pontuação CVSS: 9.4) - Uma vulnerabilidade de traversal de caminho no recurso /client/index.php
CVE-2024-9380
(pontuação CVSS: 7.2) - Uma vulnerabilidade de injeção de comando que necessita de autenticação afetando o recurso reports.php
No próximo estágio, as credenciais roubadas associadas a gsbadmin e admin foram usadas para realizar a exploração autenticada da vulnerabilidade de injeção de comando afetando o recurso /gsb/reports.php a fim de soltar um web shell ("help.php").
Em 10 de setembro de 2024, quando o aviso para o
CVE-2024-8190
foi publicado pela Ivanti, o ator de ameaça, ainda ativo na rede do cliente, 'corrigiu' as vulnerabilidades de injeção de comando nos recursos /gsb/DateTimeTab.php e /gsb/reports.php, tornando-as inexploráveis.
No passado, foi observado que atores de ameaças corrigem vulnerabilidades depois de tê-las explorado, e ganhado acesso à rede da vítima, para impedir que qualquer outro intruso ganhe acesso aos ativos vulneráveis, e potencialmente interfira com suas operações de ataque.
Exploração da vulnerabilidade SQLi
Os atacantes desconhecidos também foram identificados abusando do
CVE-2024-29824
, uma falha crítica que impacta o Ivanti Endpoint Manager (EPM), após comprometerem o appliance CSA voltado para a internet.
Especificamente, isso envolveu a habilitação do procedimento armazenado xp_cmdshell para alcançar execução remota de código.
Vale ressaltar que a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) na primeira semana de outubro de 2024.
Algumas das outras atividades incluíram a criação de um novo usuário chamado mssqlsvc, executando comandos de reconhecimento, exfiltrando os resultados desses comandos através de uma técnica conhecida como tunelamento DNS usando código PowerShell, e proxyando o tráfego através do appliance CSA por meio de uma ferramenta de código aberto chamada ReverseSocks5.
Também é digno de nota o deployment de um rootkit na forma de um objeto do kernel Linux ("sysinitd.ko") no dispositivo CSA comprometido.
A atividade foi detectada em 7 de setembro de 2024.
"O motivo provável por trás disso era para que o ator de ameaça mantivesse persistência no nível do kernel no dispositivo CSA, o que pode sobreviver até mesmo a um reset de fábrica," disseram os pesquisadores da Fortinet.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...