Table of Contents
Análise das Vulnerabilidades do Ivanti Cloud Service Appliance e suas Implicações
A descoberta de uma cadeia de zero-day composta por três vulnerabilidades no Ivanti Cloud Service Appliance (CSA) possibilitou que um ciber-atacante altamente capacitado penetrasse em redes-alvo e executasse ações maliciosas. Essa situação é um indicativo claro do aumento das ameaças enfrentadas pelas organizações que utilizam o software em questão.
O Estudo da Fortinet
Fortinet’s FortiGuard Labs recentemente publicou um relatório que alerta para a vulnerabilidade de quaisquer organizações que ainda estejam executando versões do Ivanti CSA 4.6 ou anteriores, sem adotar as devidas precauções de remediação.
“Os adversários avançados foram observados explorando e encadeando vulnerabilidades de zero-day para estabelecer acesso inicial na rede da vítima,” nota o relatório da Fortinet.
Detalhes da Cadeia de Ataques
As vulnerabilidades específicas do Ivanti CSA que foram utilizadas no ataque incluem:
- Vulnerabilidade de injeção de comando no recurso
DateTimeTab.php
, rastreada comoCVE-2024-8190
. - Vulnerabilidade crítica de travessia de caminho no recurso
/client/index.php
, rastreada comoCVE-2024-8963
. - Vulnerabilidade de injeção de comando não autenticada rastreada como
CVE-2024-9380
, afetandoreports.php
.
Após o acesso inicial, que foi facilitado por meio da vulnerabilidade de travessia de caminho, o grupo de ameaças explorou a falha de injeção de comando no reports.php
para implantar um web shell e, subsequentemente, explorou uma falha de injeção SQL no servidor de banco de dados SQL da Ivanti, rastreada como CVE-2024-29824
, para obter execução remota no sistema SQL.
Reação a Patches e Técnicas Sophisticadas
Após a liberação de um patch para a vulnerabilidade de injeção de comando, o grupo de atacantes agiu para assegurar que outros adversários não pudessem acessar os sistemas comprometidos. A FortiGuard Labs observou:
“Em 10 de setembro de 2024, quando o aviso para
CVE-2024-8190
foi publicado pela Ivanti, o ator de ameaça, ainda ativo na rede do cliente, ‘pachou’ as vulnerabilidades de injeção de comando nos recursos/gsb/DateTimeTab.php
e/gsb/reports.php
, tornando-as inexploráveis.”
Manutenção de Acesso e Métodos de Persistência
Os analistas suspeitam que o grupo estava tentando usar técnicas sofisticadas para manter o acesso ao sistema, incluindo o lançamento de um ataque de DNS tunneling via PowerShell e a instalação de um rootkit de objeto do núcleo Linux no sistema CSA comprometido. O provável motivo para tal ação era a manutenção de uma persistência em nível de núcleo no dispositivo CSA, que poderia sobreviver até mesmo a uma redefinição de fábrica.
“Essa abordagem permitiu que o ator de ameaça preservasse um nível de acesso que é difícil de erradicar,” reafirmam os pesquisadores da Fortinet.
Esse caso é um exemplo premente de como os atores de ameaça estão cada vez mais se sofisticando, explorando vulnerabilidades em software crítico e utilizando técnicas inovadoras para manter acesso e controle em sistemas comprometidos. É imperativo que as organizações adotem abordagens proativas na segurança cibernética, implementando atualizações e patches de segurança de forma imediata, além de realocar recursos para melhorar a detecção e resposta a incidentes.
#Cibersegurança #Vulnerabilidades #Ivanti #ZeroDay #Fortinet #AtaquesCibernéticos #SegurançaDaInformação #ProteçãoDeDados
Fonte:https://www.darkreading.com/cyberattacks-data-breaches/serious-adversaries-circle-ivanti-csa-flaws