O suposto inimigo nacional foi visto explorando três falhas de segurança no Ivanti Cloud Service Appliance (CSA) no dia zero para realizar uma série de atos maliciosos.
Isso está de acordo com as descobertas do Fortinet FortiGuard Labs, que afirma que a vulnerabilidade foi explorada para obter acesso não autorizado ao CSA, enumerar usuários configurados na máquina e tentar acessar as credenciais desses usuários.
“Adversários avançados foram vistos explorando e explorando vulnerabilidades de um dia para ganhar uma posição de liderança na rede da vítima”, disseram os pesquisadores de segurança Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans e Robert Reyes.
Os erros em questão estão listados abaixo –
- CVE-2024-8190 (pontuação CVSS: 7,2) – Erro de injeção de comando em /gsb/DateTimeTab.php
- CVE-2024-8963 (Pontuação CVSS: 9,4) – Vulnerabilidade transversal em /client/index.php
- CVE-2024-9380 (Pontuação CVSS: 7.2) – Vulnerabilidade de injeção de comando confirmada afetando recursos reports.php
Na próxima fase, credenciais roubadas associadas ao gsbadmin e à administração foram usadas para executar uma exploração confirmada para injeção de uma vulnerabilidade que afeta o recurso /gsb/reports.php para descartar o web shell (“help.php”).
“Em 10 de setembro de 2024, quando o comunicado CVE-2024-8190 foi publicado, Ivanti, um ator de ameaça, ainda operando na rede do cliente, ‘escondicionou’ uma vulnerabilidade de injeção de comando nos serviços /gsb/DateTimeTab.php e /gsb /reports.php, tornando-os inutilizáveis.”
“No passado, os agentes de ameaças eram reconhecidos por corrigir vulnerabilidades depois de as terem explorado e infiltrado na rede da vítima, para evitar que qualquer outro atacante acedesse aos ativos vulneráveis e potencialmente perturbasse o seu ataque”.
 |
| Exploração da vulnerabilidade SQLi |
Atacantes desconhecidos também foram identificados como explorando CVE-2024-29824, uma falha crítica que afeta o Ivanti Endpoint Manager (EPM), após comprometer o componente online do CSA. Especificamente, isso envolve ativar o procedimento armazenado xp_cmdshell para obter execução remota de código.
É importante notar que a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA adicionou uma vulnerabilidade ao seu catálogo conhecida como Vulnerabilidades Exploradas Conhecidas (KEV) na primeira semana de outubro de 2024.
Algumas das outras tarefas incluíam a criação de um novo usuário chamado mssqlsvc, a execução de comandos de teste e a extração dos resultados desses comandos em um processo conhecido como tunelamento DNS usando código PowerShell. Também importante é a implantação de um rootkit na forma de um objeto de kernel Linux (sysinitd.ko) em um dispositivo CSA comprometido.
“A razão provável para isso foi que o agente da ameaça manteve a persistência no nível do kernel no dispositivo CSA, que poderia até sobreviver a uma redefinição de fábrica”, disseram os pesquisadores da Fortinet.
