spot_img
20.3 C
São Paulo
spot_img
HomeTop Global NewsAIAtenção: Vulnerabilidades Críticas do Ivanti Reveladas!

Atenção: Vulnerabilidades Críticas do Ivanti Reveladas!

Análise das Vulnerabilidades do Ivanti Cloud Service Appliance e suas Implicações

A descoberta de uma cadeia de zero-day composta por três vulnerabilidades no Ivanti Cloud Service Appliance (CSA) possibilitou que um ciber-atacante altamente capacitado penetrasse em redes-alvo e executasse ações maliciosas. Essa situação é um indicativo claro do aumento das ameaças enfrentadas pelas organizações que utilizam o software em questão.

O Estudo da Fortinet

Fortinet’s FortiGuard Labs recentemente publicou um relatório que alerta para a vulnerabilidade de quaisquer organizações que ainda estejam executando versões do Ivanti CSA 4.6 ou anteriores, sem adotar as devidas precauções de remediação.

“Os adversários avançados foram observados explorando e encadeando vulnerabilidades de zero-day para estabelecer acesso inicial na rede da vítima,” nota o relatório da Fortinet.

Detalhes da Cadeia de Ataques

As vulnerabilidades específicas do Ivanti CSA que foram utilizadas no ataque incluem:

  • Vulnerabilidade de injeção de comando no recurso DateTimeTab.php, rastreada como CVE-2024-8190.
  • Vulnerabilidade crítica de travessia de caminho no recurso /client/index.php, rastreada como CVE-2024-8963.
  • Vulnerabilidade de injeção de comando não autenticada rastreada como CVE-2024-9380, afetando reports.php.

Após o acesso inicial, que foi facilitado por meio da vulnerabilidade de travessia de caminho, o grupo de ameaças explorou a falha de injeção de comando no reports.php para implantar um web shell e, subsequentemente, explorou uma falha de injeção SQL no servidor de banco de dados SQL da Ivanti, rastreada como CVE-2024-29824, para obter execução remota no sistema SQL.

Reação a Patches e Técnicas Sophisticadas

Após a liberação de um patch para a vulnerabilidade de injeção de comando, o grupo de atacantes agiu para assegurar que outros adversários não pudessem acessar os sistemas comprometidos. A FortiGuard Labs observou:

“Em 10 de setembro de 2024, quando o aviso para CVE-2024-8190 foi publicado pela Ivanti, o ator de ameaça, ainda ativo na rede do cliente, ‘pachou’ as vulnerabilidades de injeção de comando nos recursos /gsb/DateTimeTab.php e /gsb/reports.php, tornando-as inexploráveis.”

Manutenção de Acesso e Métodos de Persistência

Os analistas suspeitam que o grupo estava tentando usar técnicas sofisticadas para manter o acesso ao sistema, incluindo o lançamento de um ataque de DNS tunneling via PowerShell e a instalação de um rootkit de objeto do núcleo Linux no sistema CSA comprometido. O provável motivo para tal ação era a manutenção de uma persistência em nível de núcleo no dispositivo CSA, que poderia sobreviver até mesmo a uma redefinição de fábrica.

“Essa abordagem permitiu que o ator de ameaça preservasse um nível de acesso que é difícil de erradicar,” reafirmam os pesquisadores da Fortinet.

Esse caso é um exemplo premente de como os atores de ameaça estão cada vez mais se sofisticando, explorando vulnerabilidades em software crítico e utilizando técnicas inovadoras para manter acesso e controle em sistemas comprometidos. É imperativo que as organizações adotem abordagens proativas na segurança cibernética, implementando atualizações e patches de segurança de forma imediata, além de realocar recursos para melhorar a detecção e resposta a incidentes.

#Cibersegurança #Vulnerabilidades #Ivanti #ZeroDay #Fortinet #AtaquesCibernéticos #SegurançaDaInformação #ProteçãoDeDados

Fonte:https://www.darkreading.com/cyberattacks-data-breaches/serious-adversaries-circle-ivanti-csa-flaws

latest articles

explore more