Análise das Vulnerabilidades do Ivanti Cloud Service Appliance (CSA)

Um adversário suspeito de ser um ator estatal foi observado *armazenando* três falhas de segurança no Ivanti Cloud Service Appliance (CSA), um zero-day, para realizar uma série de ações maliciosas. De acordo com a pesquisa da Fortinet FortiGuard Labs, essas vulnerabilidades foram exploradas para obter acesso não autenticado ao CSA, enumerar usuários configurados no aparelho e tentar acessar as credenciais desses usuários.

“Os adversários avançados foram observados explorando e encadeando vulnerabilidades zero-day para estabelecer um acesso inicial na rede da vítima,” afirmaram os pesquisadores de segurança Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans e Robert Reyes.

Descrição das Vulnerabilidades

As falhas em questão estão listadas abaixo:

• CVE-2024-8190 (Pontuação CVSS: 7.2) – Uma falha de *injection* de comando nos recursos /gsb/DateTimeTab.php
• CVE-2024-8963 (Pontuação CVSS: 9.4) – Uma vulnerabilidade de *path traversal* no recurso /client/index.php
• CVE-2024-9380 (Pontuação CVSS: 7.2) – Uma vulnerabilidade de injeção de comando autenticada afetando o recurso reports.php

Sequência de Atividades Maliciosas

No estágio seguinte, as credenciais roubadas associadas ao usuário gsbadmin e admin foram usadas para realizar uma exploração autenticada da vulnerabilidade de injeção de comando afetando o recurso /gsb/reports.php, a fim de implantar uma *web shell* (“help.php”).

Exploitação de vulnerabilidade SQLi

No dia 10 de setembro de 2024, quando o aviso para CVE-2024-8190 foi publicado pela Ivanti, o ator de ameaça, ainda ativo na rede do cliente, “corrigiu” as vulnerabilidades de injeção de comando nos recursos /gsb/DateTimeTab.php e /gsb/reports.php, tornando-as *inexploráveis*.

“No passado, atores de ameaça foram observados corrigindo vulnerabilidades após tê-las explorado e terem ganhado acesso à rede da vítima, para evitar que qualquer outro intruso ganhasse acesso aos ativos vulneráveis e potencialmente interferisse em suas operações de ataque.”

Abuso de Outras Vulnerabilidades

Os atacantes desconhecidos também foram identificados abusando de CVE-2024-29824, uma falha crítica que afeta o Ivanti Endpoint Manager (EPM), após comprometer o aparelho CSA exposto à internet. Especificamente, isso envolveu a habilitação do xp_cmdshell stored procedure para alcançar execuções remotas de código.

Vale ressaltar que a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) na primeira semana de outubro de 2024.

Outras atividades incluíram a criação de um novo usuário chamado mssqlsvc, execução de comandos de reconhecimento e exfiltração dos resultados desses comandos por meio de uma técnica conhecida como tunelamento DNS utilizando código PowerShell. Também é notável o *desdobramento* de um rootkit na forma de um objeto de kernel do Linux (sysinitd.ko) no dispositivo CSA comprometido.

“O provável motivo por trás disso era que o ator de ameaça desejava manter a persistência em nível de kernel no dispositivo CSA, que pode sobreviver até mesmo a um reset de fábrica,” afirmaram os pesquisadores da Fortinet.

#Ivanti #Segurança #Cibersegurança #Vulnerabilidades #ZeroDay #Fortinet #CSA #Hackers #CISA #AtaquesCibernéticos

Fonte:https://thehackernews.com/2024/10/nation-state-attackers-exploiting.html