Um suposto adversário do estado-nação foi observado usando como arma três falhas de segurança no Ivanti Cloud Service Equipment (CSA) em um dia zero para executar uma série de ações maliciosas.
Isso está de acordo com as descobertas do Fortinet FortiGuard Labs, que afirmou que as vulnerabilidades foram abusadas para obter acesso não autenticado ao CSA, enumerar usuários configurados no dispositivo e tentar acessar as credenciais desses usuários.
“Os adversários avançados foram observados explorando e encadeando vulnerabilidades de dia zero para estabelecer acesso à rede da vítima”, disseram os pesquisadores de segurança Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans e Robert Reyes.
As falhas em questão estão listadas abaixo –
- CVE-2024-8190 (pontuação CVSS: 7,2) – Uma falha de injeção de comando no recurso /gsb/DateTimeTab.php
- CVE-2024-8963 (pontuação CVSS: 9,4) – Uma vulnerabilidade de passagem de caminho no recurso /shopper/index.php
- CVE-2024-9380 (Pontuação CVSS: 7.2) – Uma vulnerabilidade de injeção de comando autenticado afetando o recurso reviews.php
Na próxima etapa, as credenciais roubadas associadas a gsbadmin e admin foram usadas para realizar exploração autenticada da vulnerabilidade de injeção de comando que afeta o recurso /gsb/reviews.php para descartar um internet shell (“assist.php”).
“Em 10 de setembro de 2024, quando o comunicado para CVE-2024-8190 foi publicado pela Ivanti, o ator da ameaça, ainda ativo na rede do cliente, ‘corrigiu’ as vulnerabilidades de injeção de comando nos recursos /gsb/DateTimeTab.php, e /gsb/reviews.php, tornando-os inexploráveis.”
“No passado, observou-se que os agentes de ameaças corrigiam vulnerabilidades depois de as terem explorado e ganhavam posição na rede da vítima, para impedir que qualquer outro intruso obtivesse acesso ao(s) ativo(s) vulnerável(is) e potencialmente interferisse nas suas operações de ataque. “
 |
| Exploração de vulnerabilidade SQLi |
Os invasores desconhecidos também foram identificados abusando do CVE-2024-29824, uma falha crítica que afeta o Ivanti Endpoint Supervisor (EPM), após comprometer o dispositivo CSA voltado para a Web. Especificamente, isso envolveu permitir que o procedimento armazenado xp_cmdshell conseguisse a execução remota de código.
É importante notar que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na primeira semana de outubro de 2024.
Algumas das outras atividades incluíram a criação de um novo usuário chamado mssqlsvc, a execução de comandos de reconhecimento e a exfiltração dos resultados desses comandos por meio de uma técnica conhecida como tunelamento DNS usando código PowerShell. Também digno de nota é a implantação de um rootkit na forma de um objeto de kernel Linux (sysinitd.ko) no dispositivo CSA comprometido.
“O provável motivo por trás disso foi o agente da ameaça manter a persistência no nível do kernel no dispositivo CSA, que pode sobreviver até mesmo a uma redefinição de fábrica”, disseram os pesquisadores da Fortinet.
