Os agentes de ameaças estão aproveitando uma irregularidade de segurança divulgada recentemente que afeta os gateways Ivanti Connect Secure, Policy Secure e ZTA para implantar um backdoor com codinome DSLog em dispositivos suscetíveis.
Isso está de contrato com as descobertas da Orange Cyberdefense, que afirmou ter observado a exploração do CVE-2024-21893 poucas horas depois o lançamento público do código de prova de noção (PoC).
CVE-2024-21893, que foi divulgado pela Ivanti no final do mês pretérito junto com CVE-2024-21888, refere-se a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no módulo SAML que, se explorada com sucesso, poderia permitir chegada a recursos de outra forma restritos sem qualquer autenticação.
Desde portanto, a empresa sediada em Utah reconheceu que a irregularidade limitou os ataques direcionados, embora a graduação exata dos comprometimentos não seja clara.
Portanto, na semana passada, a Shadowserver Foundation revelou um aumento nas tentativas de exploração visando a vulnerabilidade originada em mais de 170 endereços IP exclusivos, logo depois que Rapid7 e AssetNote compartilharam especificações técnicas adicionais.
A estudo mais recente da Orange Cyberdefense mostra que foram detectados comprometimentos já em 3 de fevereiro, com o ataque direcionado a um cliente não identificado para injetar um backdoor que concede chegada remoto persistente.
“O backdoor é inserido em um registro Perl existente chamado ‘DSLog.pm'”, disse a empresa, destacando um padrão contínuo no qual componentes legítimos existentes – neste caso, um módulo de registro – são modificados para aditar o código malicioso.
DSLog, o implante, vem equipado com seus próprios truques para dificultar a estudo e detecção, incluindo a incorporação de um hash individual por dispositivo, impossibilitando assim o uso do hash para entrar em contato com o mesmo backdoor em outro dispositivo.
O mesmo valor de hash é fornecido pelos invasores ao campo de cabeçalho User-Agent em uma solicitação HTTP ao dispositivo para permitir que o malware extraia o comando a ser executado a partir de um parâmetro de consulta chamado “cdi”. A instrução decodificada é portanto executada uma vez que usuário root.
“O web shell não retorna status/código ao tentar contatá-lo”, disse Orange Cyberdefense. “Não há nenhuma maneira conhecida de detectá-lo diretamente.”
Observou ainda evidências de agentes de ameaças apagando registros “.access” em “múltiplos” dispositivos em uma tentativa de encobrir a trilha judiciario e passar despercebido.
Mas ao verificar os artefatos criados ao acionar a vulnerabilidade SSRF, a empresa disse que foi capaz de detectar 670 ativos comprometidos durante uma verificação inicial em 3 de fevereiro, um número que caiu para 524 em 7 de fevereiro.
À luz da exploração contínua dos dispositivos Ivanti, é altamente recomendado que “todos os clientes redefinam seus dispositivos de fábrica antes de empregar o patch para evitar que o agente da prenúncio obtenha persistência de atualização em seu envolvente”.