Una secuencia inteligente de tres fallas de día cero separadas en el dispositivo de servicio en la nube de Ivanti permitió que un ciberatacante particularmente poderoso se infiltrara en una red objetivo y ejecutara acciones maliciosas, lo que llevó a los investigadores a concluir que un actor estatal estaba apuntando activamente a estos sistemas vulnerables.
FortiGuard Labs de Fortinet publicó sus hallazgos, advirtiendo que cualquier organización que ejecute Ivanti CSA versión 4.6 y anteriores sin tomar las precauciones necesarias es vulnerable a este método de ataque.
Los detalles de la cadena de ataque recién descubierta aparecen en medio de una serie de anuncios de noticias vulnerabilidades de seguridad en CSA de Ivanti también bajo explotación activa.
“Se ha observado que adversarios avanzados explotan y encadenan vulnerabilidades de día cero para establecer un acceso directo a la red de la víctima”, explica Fortinet. informe dicho. “Este incidente es un excelente ejemplo de cómo los actores de amenazas encadenan vulnerabilidades de día cero para obtener el primer acceso a la red de una víctima”.
Las tres fallas específicas de Ivanti CSA utilizadas en el ataque fueron una falla de inyección de comando en el recurso DateTimeTab.php rastreada como CVE-2024-8190, una vulnerabilidad de recorrido de ruta crítica en el recurso /client/index.php rastreada como CVE-2024-8963 . y una vulnerabilidad de inyección de comandos no autenticada identificada como CVE-2024-9380 que afecta a reporting.php.
Una vez que se estableció el acceso inicial utilizando el error de recorrido de ruta, el grupo de amenazas pudo explotar la falla de inyección de comandos en el recurso reports.php para eliminar un shell web. El grupo aprovechó una vulnerabilidad de inyección SQL separada en el servidor de base de datos SQL (SQLS) central de Ivanti, identificada como CVE-2024-29824, para lograr la ejecución remota en el sistema SQLS, señalaron los investigadores.
Después de que Ivanti lanzó un parche para la falla de inyección de comandos, el grupo de ataque actuó para garantizar que otros adversarios no los siguieran hasta los sistemas comprometidos. “El 10 de septiembre de 2024, cuando Ivanti publicó el aviso para CVE-2024-8190, el actor malicioso, aún activo en la red del cliente, “parchó” las vulnerabilidades de inyección de comandos en los recursos /gsb/DateTimeTab.php y / gsb/reports.php, haciéndolos inexplotables”, agregó el equipo de FortiGuard Labs en el informe. “En el pasado, se ha observado que actores maliciosos parchean vulnerabilidades después de explotarlas y se afianzan en la red de la víctima, para evitar cualquier otros intrusos accedan a activos vulnerables y potencialmente interfieran con sus operaciones de ataque”.
En este caso, los analistas sospecharon que el grupo estaba tratando de utilizar técnicas sofisticadas para mantener el acceso, incluido el lanzamiento de un ataque de túnel DNS a través de PowerShell y la eliminación de un rootkit de objeto del kernel de Linux en el sistema CSA comprometido.
“El motivo probable detrás de esto fue que el actor de la amenaza quería mantener la persistencia a nivel de kernel en el dispositivo CSA, que puede sobrevivir incluso a un restablecimiento de fábrica”, dijeron los investigadores de Fortinet.