CVE-2023-46805 und CVE-2024-21887 Erkennung: Chinesische Bedrohungsakteure nutzen Zero-Day-Schwachstellen in Invanti Connect Secure und Policy Secure Instanzen aus
Inhaltsverzeichnis:
Kritische Zero-Day-Schwachstellen, die externe Systeme betreffen, stellen erhebliche Bedrohungen für zahlreiche Organisationen dar, die auf sie angewiesen sind. Sie setzen sie Risiken wie RCE und Systemkompromittierung aus, ähnlich wie die aktive Ausnutzung der FortiOS SSL-VPN -Schwachstelle im Januar 2023 Chaos verursachte. Kürzlich wurden chinesische staatlich unterstützte Hackergruppen dabei beobachtet, wie sie zwei Zero-Day-Schwachstellen ausnutzen, die als CVE-2023-46805 und CVE-2024-21887 in Ivanti Connect Secure (ICS) und Policy Secure-Geräten verfolgt werden. Die entdeckten Schwachstellen können von Angreifern genutzt werden, um eine Exploit-Kette zu erstellen, die die Übernahme betroffener Instanzen über das Internet ermöglicht. Sicherheits-Patches sollen schrittweise bereitgestellt werden, beginnend in der Woche des 22. Januar 2024.
Erkennen Sie eine potenzielle Exploit-Kette für CVE-2023-46805 und CVE-2024-21887
Die Ausnutzung von Schwachstellen bleibt einer der Hauptvektoren für staatlich unterstützte Akteure, und in den letzten zehn Jahren hat sich die Anzahl der anfälligen Anwendungen drastisch erhöht. In der ersten Woche des Jan ‘24 berichteten Sicherheitsexperten über 600+ neue Sicherheitslücken, die zu einem Jahresgesamtvolumen von über 29.000 im Jahr 2023 gemeldeten Schwachstellen beitragen.
Um neuen Bedrohungen einen Schritt voraus zu sein und Cyberangriffe in ihren frühesten Entwicklungsphasen zu erkennen, benötigen Cyberverteidiger innovative Bedrohungsjagd-Tools und eine zuverlässige Quelle für Erkennungsinhalte. Die SOC Prime Plattform für kollektive Cyberverteidigung aggregiert über 11.000 verhaltensbasierte Sigma-Regeln, um sicherzustellen, dass keine Bedrohung unentdeckt bleibt. Klicken Sie auf die Schaltfläche Detektionen erkunden unten und gehen Sie zur Liste der Regeln, die auf die CVE-2023-46805 und CVE-2024-21887-Exploit-Erkennung abzielen.
Alle Regeln sind mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel und mit dem MITRE ATT&CK-Frameworkabgebildet. Darüber hinaus sind die Erkennungen mit detaillierten Metadaten angereichert, darunter CTI-Links, Medienreferenzen, Triagierungsempfehlungen usw.
Analyse von CVE-2023-46805 und CVE-2024-21887
Forscher von Ivanti haben kürzlich zwei Zero-Day-Schwachstellen identifiziert und Bedenken geäußert, die als CVE-2023-46805 und CVE-2024-21887 verfolgt werden und derzeit von China-verbundenen staatlich unterstützten Akteuren aktiv ausgenutzt werden. Die Sicherheitslücken betreffen Ivanti Connect Secure (ICS) und Ivanti Policy Secure-Gateways. Alle Software-Versionen, einschließlich Version 9.x und 22.x, sind betroffen.
CVE-2023-46805, mit einem CVSS-Wert von 8,2, ist eine Authentifikationsumgehungsschwachstelle, die Gegnern grünes Licht gibt, um auf eingeschränkte Materialien zuzugreifen, indem sie Kontrollprüfungen umgehen. CVE-2024-21887, mit 9,1 auf der CVSS-Skala bewertet, ist eine kritische Befehlsinjektions-Schwachstelle, die authentifizierten Administratoren ermöglicht, spezifische Anfragen zu senden und beliebige Befehle auf den betroffenen Geräten auszuführen. Beide Schwachstellen können miteinander verkettet werden, sodass Angreifer die Kontrolle über kompromittierte Geräte erlangen können.
Im Dezember 2023 erkannten Volexity-Forscher als erste die verdächtige Aktivität, die die Ausnutzung von CVE-2023-46805 und CVE-2024-21887 in freier Wildbahn betrifft, was zu einer unauthentifizierten RCE in Ivanti Connect Secure VPN-Geräten führte. Forscher verknüpfen die aufgedeckte Gegner-Aktivität mit einer Hackergruppe, die als UTA0178 verfolgt wird. Die erfolgreiche Ausnutzung befähigt Angreifer, auf Konfigurationsdaten zuzugreifen, bestehende Dateien zu ändern, Dateien aus der Ferne abzurufen und einen Reverse-Tunnel von der ICS VPN-Appliance aus einzurichten, was zu einer weiteren Systemkompromittierung führt.
Die laufenden Angriffe umfassen auch Aufklärung, seitliche Bewegungen und die Verwendung einer benutzerdefinierten Webshell namens GLASSTOKEN. Letztere wird über eine kompromittierte CGI-Datei bereitgestellt, die den persistenten Fernzugriff auf öffentliche Webserver sicherstellt. Bemerkenswert ist, dass verdächtige staatlich unterstützte Gegner mindestens fünf verschiedene Malware-Familien in ihren Post-Exploitation-Aktivitäten eingesetzt haben.
Aufgrund der wachsenden Risiken der Ivanti VPN Zero-Day-Exploitation in freier Wildbahn hat die CISA die Schwachstellen in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und kürzlich eine dedizierte Warnung herausgegeben, um das Bewusstsein für Cybersicherheit zu erhöhen.
Als Reaktion auf die eskalierenden Risiken veröffentlichte Ivanti eine Sicherheitsberatung , die die Schwachstellentetails und potenzielle Maßnahmen zur Schadensminderung abdeckt, während die Patches auf dem Weg sind. In der Zwischenzeit wird den Benutzern von Ivanti geraten, eine vorübergehende Lösung zu implementieren als Vorsichtsmaßnahme gegen potenzielle Bedrohungen. Organisationen, die ICS VPN-Geräte nutzen, wird auch dringend empfohlen, ihre Protokolle, Netzwerktelemetrie und die Ergebnisse des internen Integritätsprüfwerkzeugs gründlich zu überprüfen, um rechtzeitig Anzeichen eines erfolgreichen Eindringens zu identifizieren.
Da internetgereichte Systeme, insbesondere wichtige Geräte wie VPN-Geräte und Firewalls, zu hochfavorisierten Zielen für Hacker werden, sollten Verteidiger ständig auf der Hut sein, um solchen Angriffen zuvorzukommen. Mit den laufenden Angriffen in freier Wildbahn, bei denen von China unterstützte Hacker Ivanti VPN Zero-Days nutzen, ist die Stärkung der Cyberresilienz von höchster Bedeutung. Verteidiger können sich auf Uncoder AI verlassen, um die Detection Engineering-Operationen in großem Maßstab zu beschleunigen und die Regelkodierung, IOC-Abgleich und die reibungslose Übersetzung von Erkennungskonzepten in 65 Sprachformate zu optimieren, während Routineaufgaben automatisiert werden, um Zeit für Sicherheitsüberwachung zu sparen und die Netzwerkresilienz zu verbessern.
