Агентство по кибербезопасности и защите инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) совместно опубликовали рекомендации по кибербезопасности, касающиеся уязвимостей в устройствах облачного сервиса Ivanti (CSA) в сентябре 2024 года. Опасность этих уязвимостей уже привела к успешным атакам со стороны злоумышленников и подчеркивает необходимость быстрого реагирования со стороны организаций.
Общие сведения об уязвимостях
В рекомендациях рассматриваются следующие уязвимости:
- CVE-2024-8963 – уязвимость административного обхода;
- CVE-2024-9379 – уязвимость SQL-внедрения;
- CVE-2024-8190 и CVE-2024-9380 – уязвимости удаленного выполнения кода.
Хакеры использовали данные уязвимости в комбинации, что позволяло им получать первоначальный доступ к системам, выполнять удаленный код и внедрять веб-оболочки в сети жертв. В основном действующие лица использовали две цепочки уязвимостей:
- Первая цепочка: CVE-2024-8963 в связке с CVE-2024-8190 и CVE-2024-9380.
- Вторая цепочка: CVE-2024-8963 и CVE-2024-9379.
Актуальные версии и рекомендации
Эти уязвимости затрагивают версии Ivanti CSA от 4.6x до версии 519, а CVE-2024-9379 и CVE-2024-9380 также касаются CSA версий 5.0.1 и ниже. Важно отметить, что, согласно информации Ivanti, эти уязвимости не были обнаружены в версии 5.0. Поскольку срок службы Ivanti CSA 4.6 истек (EOL) и на него больше не распространяются исправления, CISA и ФБР призывают сетевых администраторов перейти на последнюю поддерживаемую версию для снижения рисков.
Рекомендации для защиты
Сетевым защитникам рекомендуется проводить упреждающий поиск вредоносных действий с использованием индикаторов компрометации (IOCs) и методов обнаружения. Учитывая компрометацию учетных данных в уязвимых устройствах Ivanti, организациям необходимо:
- Анализировать журналы и артефакты на наличие признаков вредоносной активности;
- Следовать рекомендациям по реагированию на инциденты;
- Использовать платформы endpoint protection для обнаружения подозрительных действий.
Подходы хакеров
Злоумышленники применяли различную тактику, включая:
- Использование уязвимостей для расшифровки учетных данных администратора;
- Создание каналов управления для утечки данных;
- Перемещение внутри окружения жертвы.
Необходимо обратить внимание на использование хакерами кодированных в base64 скриптов для сбора зашифрованных учетных данных и создания веб-оболочек. В ряде атак наблюдались попытки обойти системы защиты, получить доступ к дополнительным серверам и использовать команды sudo для уклонения от обнаружения.
По данным организаций, пострадавших от этих эксплойтов, были предприняты своевременные меры по реагированию, которые предотвратили дальнейшие действия хакеров. Обратите внимание на следующие усилия по устранению неполадок:
- Замена скомпрометированных виртуальных машин на чистые, обновленные версии;
- Внедрение выводов IOC и использование подробных журналов для обнаружения аномалий.
Заключение
Рекомендации также освещают конкретные тактики и приемы, используемые хакерами, а также известные команды sudo, которые они использовали для удаления веб-оболочек и следов эксплуатации. Изучение этих рекомендаций поможет организациям лучше подготовиться к потенциальным угрозам и защитить свои системы от будущих атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уязвимости Ivanti CSA: угроза кибербезопасности 2024 года".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.