本文來自微信公眾號“GoUpSec”。
網(wǎng)絡安全和IT管理軟件巨頭Ivanti的兩款產(chǎn)品(Connect Secure VPN和Ivanti Policy Secure網(wǎng)絡訪問控制設備)曝出的兩個零日漏洞近日在全球范圍被大規(guī)模利用于部署后門、挖礦軟件和自定義惡意軟件。
16萬VPN設備暴露
這兩個零日漏洞分別是:身份驗證繞過漏洞(CVE-2023-46805)和CVE-2024-21887命令注入漏洞。去年12月,威脅情報公司Volexity首次發(fā)現(xiàn)兩個零日漏洞的野外利用。攻擊者組合可利用這兩個零日漏洞在受影響的ICS VPN和IPS設備上執(zhí)行任意命令,在目標網(wǎng)絡內(nèi)橫向移動、竊取數(shù)據(jù)并通過部署后門建立持久的系統(tǒng)訪問權限。
根據(jù)威脅監(jiān)控服務Shadowserver的最新數(shù)據(jù),目前有超過16.2萬個在線暴露的ICS VPN設備,其中超過4700個在美國(Shodan還發(fā)現(xiàn)近17000個在線暴露的Ivanti ICS設備)。
Shadowserver還監(jiān)控全球受感染Ivanti Connect Secure VPN實例的數(shù)量和利用嘗試,僅1月18日就發(fā)現(xiàn)了420多個被黑設備。
被黑的Ivanti設備全球分布數(shù)據(jù)來源:Shadowserver
CISA發(fā)出2024年首個緊急指令
美國關鍵基礎設施管理局(CISA)上周末發(fā)布了2024年首個緊急指令(ED24-01)要求美國聯(lián)邦機構必須立即實施Ivanti公開披露的緩解措施(鏈接在文末),使用Ivanti提供的外部完整性檢查工具檢查是否發(fā)生數(shù)據(jù)泄漏,并且采取以下措施:
●美國東部時間2024年1月22日星期一晚上11:59前通過Ivanti的下載門戶下載“mitigation.release.20240107.1.xml”并將其導入到受影響的產(chǎn)品中。(可能會降低產(chǎn)品性能)
●立即向CISA報告攻擊跡象
●從代理網(wǎng)絡中刪除受感染的產(chǎn)品。啟動事件分析,通過創(chuàng)建取證硬盤驅動器映像來保留受感染設備的數(shù)據(jù),并尋找進一步受感染的跡象。
●讓受感染的產(chǎn)品重新投入使用,使用受影響的Ivanti解決方案軟件將設備重置為出廠默認設置,并通過應用Ivanti的緩解措施來消除攻擊媒介。
聯(lián)邦機構恢復被感染設備并重新投入使用時還必須遵循Ivanti的恢復說明:
●撤銷并重新頒發(fā)任何存儲的證書。
●重置管理員啟用密碼。
●重置存儲的API密鑰。
●重置網(wǎng)關上定義的任何本地用戶的密碼,包括用于身份驗證服務器配置的服務帳戶。
●在受影響的產(chǎn)品可用時且不晚于Ivanti發(fā)布后48小時內(nèi),應用本指令中提到的兩個漏洞的更新。
CISA還要求聯(lián)邦機構在緊急指令發(fā)布一周后向其報告網(wǎng)絡中Ivant iConnect Secure和Ivanti Policy Secure產(chǎn)品所有實例的完整清單,包括所采取行動和結果的詳細信息。
Ivanti零日漏洞利用“遍地開花”
Mandiant安全專家上周五發(fā)現(xiàn)了五種定制惡意軟件菌株部署在被入侵的Ivanti客戶系統(tǒng)上,目標是竊取憑據(jù)、部署Webshell和其他惡意負載。
攻擊中使用的工具列表包括:
●Zipline Passive Backdoor:自定義惡意軟件,可以攔截網(wǎng)絡流量,支持上傳/下載操作,創(chuàng)建反向shell、代理服務器、服務器隧道
●Thinspool Dropper:自定義shell腳本dropper,將Lightwire Web shell寫入Ivanti CS,確保持久性
●Wirefire Web shell:基于Python的自定義Webshell,支持未經(jīng)身份驗證的任意命令執(zhí)行和負載刪除
●Lightwire Web shell:嵌入合法文件中的自定義Perl Web shell,可實現(xiàn)任意命令執(zhí)行
●Warpwire Harvester:基于Java Script的自定義工具,用于在登錄時收集憑據(jù),并將其發(fā)送到命令和控制(C2)服務器
●PySoxy隧道器:促進網(wǎng)絡流量隧道的隱蔽性
●Busy Box:多調用二進制文件,結合了各種系統(tǒng)任務中使用的許多Unix實用程序
●Thinspool實用程序(sessionserver.pl):用于將文件系統(tǒng)重新掛載為“讀/寫”以啟用惡意軟件部署
最值得注意的工具是Zipline,這是一種被動后門,可以攔截傳入的網(wǎng)絡流量并提供文件傳輸、反向shell、隧道和代理功能。
威脅情報公司Volexity表示,一個疑似國家黑客組織的攻擊者已使用GIFTEDVISITOR Webshell變體為2100多臺Ivanti設備添加了后門。
Volexity和GreyNoise還發(fā)現(xiàn)攻擊者正在部署XMRig加密貨幣挖礦程序,而基于Rust的惡意軟件有效負載仍在等待分析結果。
值得注意的是,去年Ivanti的產(chǎn)品就曾多次曝出零日漏洞被利用。
去年4月開始,Ivanti的Endpoint Manager Mobile(EPMM)產(chǎn)品中的兩個零日漏洞(CVE-2023-35078和CVE-2023-35081)被積極利用,受害者包括多個挪威政府組織。
一個月后,黑客開始利用Ivanti Sentry軟件中的第三個零日漏洞(CVE-2023-38035)在針對性攻擊中繞過設備上的API身份驗證。