Критични уязвимости в Ivanti CSA: Как хакерите проникват във вашата мрежа и как да се защитите

Три уязвимости в CSA, включително и zero-day уязвимост, са били използвани за осъществяване на нерегламентиран достъп до Ivanti Cloud Service Appliance (CSA)

Днес ще разгледаме нещо наистина важно, свързано със сигурността на вашите мрежи. Тук става въпрос за нещо, което наистина може да ви изненада - злонамерени групи използват критични уязвимости в Ivanti Cloud Service Appliance (CSA), за да извършват опасни действия. Да, точно така – говорим за атаки, които вероятно идват от национално подкрепен противник.

Какво точно се случва?

Според Fortinet FortiGuard Labs, три уязвимости в CSA, включително и zero-day уязвимост, са били използвани за осъществяване на нерегламентиран достъп до устройствата. Хакерите използват тези уязвимости, за да изброят потребителите, настроени в апарата, и дори се опитват да получат техните идентификационни данни.

Ето ги и уязвимостите:

1. CVE-2024-8190 (оценка по CVSS: 7.2) - уязвимост за инжектиране на команди в ресурса /gsb/DateTimeTab.php.
2. CVE-2024-8963 (оценка по CVSS: 9.4) - уязвимост за преминаване на пътя в ресурса /client/index.php.
3. CVE-2024-9380 (оценка по CVSS: 7.2) - уязвимост за инжектиране на команди, която изисква автентикация и засяга ресурса reports.php.

Каква е целта на тези атаки?

След като хакерите успяват да откраднат идентификационните данни, те продължават със следващия етап. Тук използват командната инжекция върху ресурса /gsb/reports.php, за да качат web shell файл с име "help.php". Да, става въпрос за сериозна атака, в която заплахата остава вътре в мрежата на жертвата и си осигурява продължителен достъп.

Интересното е, че на 10 септември 2024 г., когато Ivanti обявяват публично уязвимостта CVE-2024-8190, заплахата все още е активна в мрежата на клиента. Тук е любопитно да се отбележи как злонамерените актьори сами „закърпват“ уязвимостите, за да направят тяхната експлоатация недостъпна за други хакери. Да, точно така – те защитават достъпа си и елиминират конкуренцията.

Има ли още?

Да, още една уязвимост се оказва във фокуса на атаката – CVE-2024-29824, която засяга Ivanti Endpoint Manager (EPM). Злонамерените хакери използват тази уязвимост, за да изпълняват команди от разстояние. Те активират процедурата xp_cmdshell, което им дава възможност да контролират отдалечен код и да извършват поредица от атаки.

Какво друго правят хакерите?

Не спират само до тук. Те създават нов потребител, наречен mssqlsvc, и започват да изпълняват команди за разузнаване. Резултатите от тези команди те изнасят чрез техника, известна като DNS тунелиране с PowerShell. Дори са внедрили rootkit под формата на Linux ядрен обект – sysinitd.ko, за да поддържат достъп на ниво ядро дори при фабрично нулиране.

Как да се защитим?

Първата стъпка е да следите за актуализациите на вашите устройства и да проверите дали са приложени необходимите защитни кръпки. Ако работите с Ivanti продукти, уверете се, че всички уязвимости са адресирани. Освен това, обърнете внимание на подозрителни дейности в мрежата си, особено на нови потребители и необичайни DNS заявки.

Тези атаки ни показват как хакерите стават все по-изобретателни. Те използват комбинирани методи, за да осъществят контрол над мрежи и устройства. Но не се притеснявайте – с правилните мерки и постоянна бдителност можете да ги спрете. Обновявайте редовно системите си и винаги следете за необичайни активности в мрежата си!

Бъдете нащрек и пазете вашите данни сигурни!