Se ha observado que un presunto adversario de un estado-nación utiliza tres fallas de seguridad en Ivanti Cloud Service Appliance (CSA) en un día cero para realizar una serie de acciones maliciosas.
Esto es según los hallazgos de Fortinet FortiGuard Labs, que dijeron que se abusó de las vulnerabilidades para obtener acceso no autenticado al CSA, enumerar los usuarios configurados en el dispositivo e intentar acceder a las credenciales de esos usuarios.
“Se observó a los adversarios avanzados explotando y encadenando vulnerabilidades de día cero para establecer un acceso de cabeza de playa en la red de la víctima”, dijeron los investigadores de seguridad Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans y Robert Reyes.
Los defectos en cuestión se enumeran a continuación:
- CVE-2024-8190 (Puntuación CVSS: 7,2) – Un error de inyección de comando en el recurso /gsb/DateTimeTab.php
- CVE-2024-8963 (Puntuación CVSS: 9,4) – Una vulnerabilidad de recorrido de ruta en el recurso /client/index.php
- CVE-2024-9380 (Puntuación CVSS: 7,2): una vulnerabilidad de inyección de comando autenticado que afecta al recurso reports.php
En la siguiente etapa, las credenciales robadas asociadas con gsbadmin y admin se utilizaron para realizar una explotación autenticada de la vulnerabilidad de inyección de comandos que afecta al recurso /gsb/reports.php con el fin de colocar un shell web (“help.php”).
“El 10 de septiembre de 2024, cuando Ivanti publicó el aviso para CVE-2024-8190, el actor de amenazas, todavía activo en la red del cliente, ‘parchó’ las vulnerabilidades de inyección de comandos en los recursos /gsb/DateTimeTab.php, y /gsb/reports.php, haciéndolos inexplotables.”
“En el pasado, se ha observado que los actores de amenazas parchean vulnerabilidades después de haberlas explotado y de haber logrado afianzarse en la red de la víctima, para evitar que cualquier otro intruso obtenga acceso a los activos vulnerables y potencialmente interfiera con sus operaciones de ataque. “
 |
| Explotación de vulnerabilidad SQLi |
Los atacantes desconocidos también han sido identificados abusando de CVE-2024-29824, una falla crítica que afecta a Ivanti Endpoint Manager (EPM), después de comprometer el dispositivo CSA con acceso a Internet. Específicamente, esto implicó habilitar el procedimiento almacenado xp_cmdshell para lograr la ejecución remota de código.
Vale la pena señalar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en la primera semana de octubre de 2024.
Algunas de las otras actividades incluyeron la creación de un nuevo usuario llamado mssqlsvc, la ejecución de comandos de reconocimiento y la extracción de los resultados de esos comandos a través de una técnica conocida como túnel DNS usando código PowerShell. También es de destacar la implementación de un rootkit en forma de objeto del kernel de Linux (sysinitd.ko) en el dispositivo CSA comprometido.
“El motivo probable detrás de esto fue que el actor de la amenaza mantuviera la persistencia a nivel de kernel en el dispositivo CSA, que puede sobrevivir incluso a un restablecimiento de fábrica”, dijeron los investigadores de Fortinet.
