Rilevamento di CVE-2023-46805 e CVE-2024-21887: Attori di Minacce Cinesi Sfruttano Vulnerabilità Zero-Day in Invanti Connect Secure e Policy Secure Instances
Indice:
Le vulnerabilità zero-day critiche che colpiscono i sistemi esposti esternamente rappresentano minacce gravi per molte organizzazioni che vi si affidano, esponendole a rischi di RCE e compromissione del sistema, proprio come lo sfruttamento attivo della vulnerabilità di FortiOS SSL-VPN ha causato problemi nel gennaio 2023. Recentemente, gruppi di hacker sponsorizzati dallo Stato cinese sono stati osservati sfruttare due vulnerabilità zero-day tracciate come CVE-2023-46805 e CVE-2024-21887 negli apparati Ivanti Connect Secure (ICS) e Policy Secure. Le vulnerabilità rilevate possono essere sfruttate dagli attaccanti per creare una catena di exploit, consentendo la presa di controllo delle istanze colpite su internet. Le patch per le vulnerabilità sono previste per essere rilasciate gradualmente, a partire dalla settimana del 22 gennaio 2024.
Rileva una potenziale catena di exploit CVE-2023-46805 e CVE-2024-21887
Lo sfruttamento delle vulnerabilità rimane uno dei principali vettori di intrusione per gli attori sponsorizzati dallo Stato e, nell’ultimo decennio, il numero di applicazioni vulnerabili è aumentato drasticamente. Alla prima settimana di gennaio ’24, i professionisti della sicurezza hanno rivelato oltre 600 nuove vulnerabilità di sicurezza, contribuendo a un totale annuo di oltre 29.000 riportate nel 2023.
Per stare al passo con le minacce emergenti e scoprire attacchi informatici nelle loro fasi iniziali di sviluppo, i difensori informatici richiedono strumenti innovativi di caccia alle minacce insieme a una fonte affidabile di contenuti di rilevamento. La piattaforma SOC Prime per la difesa informatica collettiva aggrega oltre 11K regole Sigma basate sul comportamento per garantire che nessuna minaccia passi inosservata durante il tuo turno. Premi il pulsante Esplora Rilevamenti qui sotto e vai alla lista di regole mirate alla rilevazione di exploit CVE-2023-46805 e CVE-2024-21887.
Tutte le regole sono compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappate al framework MITRE ATT&CK. Inoltre, i rilevamenti sono arricchiti con metadati dettagliati, inclusi link CTI, riferimenti mediatici, raccomandazioni per il triage, ecc.
Analisi di CVE-2023-46805 e CVE-2024-21887
I ricercatori di Ivanti hanno recentemente identificato e sollevato preoccupazioni su due vulnerabilità zero-day tracciate come CVE-2023-46805 e CVE-2024-21887, attualmente sfruttate attivamente da attori nazionali legati alla Cina. I bug di sicurezza colpiscono i gateway Ivanti Connect Secure (ICS) e Ivanti Policy Secure. Tutte le versioni del software, inclusa la versione 9.x e 22.x, sono colpite.
CVE-2023-46805, con un punteggio CVSS di 8.2, è una vulnerabilità di bypass dell’autenticazione che consente agli avversari di accedere da remoto a materiali riservati eludendo i controlli di sicurezza. CVE-2024-21887, con un punteggio di 9.1 sulla scala CVSS, è una vulnerabilità critica di injection di comandi che permette agli amministratori autenticati di inviare richieste specifiche ed eseguire comandi arbitrari sui dispositivi colpiti. Entrambe le vulnerabilità possono essere concatenate, consentendo agli attaccanti di assumere il controllo dei dispositivi compromessi.
Nel dicembre 2023, i ricercatori di Volexity sono stati i primi a rilevare l’attività sospetta che coinvolge lo sfruttamento in the wild di CVE-2023-46805 e CVE-2024-21887, portando a RCE non autenticata nei dispositivi Ivanti Connect Secure VPN. I ricercatori collegano l’attività dell’avversario scoperta a un gruppo di hacker tracciato come UTA0178. Lo sfruttamento riuscito consente agli attaccanti di accedere ai dati di configurazione, alterare file esistenti, recuperare file da remoto e stabilire un tunnel inverso dal dispositivo ICS VPN che porta a una ulteriore compromissione del sistema.
Gli attacchi in corso coinvolgono anche ricognizione, movimento laterale e l’uso di una shell web personalizzata chiamata GLASSTOKEN. Quest’ultima è distribuita tramite un file CGI compromesso, garantendo accesso remoto persistente ai server web esposti al pubblico. In particolare, gli avversari sospettati di essere sostenuti dallo Stato hanno distribuito almeno cinque diverse famiglie di malware nelle loro attività post-sfruttamento.
A causa dei crescenti rischi dello sfruttamento zero-day selvaggio di Ivanti VPN, CISA ha aggiunto le vulnerabilità al suo Catalogo di Vulnerabilità Sfruttate Conosciute e ha recentemente emesso un avviso dedicato per aumentare la consapevolezza sulla sicurezza informatica.
In risposta ai rischi crescenti, Ivanti ha pubblicato un avviso di sicurezza che copre i dettagli della vulnerabilità e le potenziali mitigazioni mentre le patch sono in arrivo. Nel frattempo, si consiglia agli utenti Ivanti di applicare una soluzione temporanea come misura precauzionale contro le potenziali minacce. Si raccomanda inoltre vivamente alle organizzazioni che utilizzano dispositivi ICS VPN di esaminare accuratamente i loro log, la telemetria di rete e i risultati dello strumento di verifica dell’integrità interna per identificare tempestivamente eventuali segni di compromissione riuscita.
Poiché i sistemi esposti a Internet, in particolare dispositivi cruciali come gli appliance VPN e i firewall, emergono come obiettivi altamente favoriti per gli hacker, i difensori dovrebbero essere costantemente in allerta per prevenire tali attacchi. Con gli attacchi in corso selvaggi in cui gli hacker sostenuti dalla Cina sfruttano le zero-day di Ivanti VPN, potenziare la resilienza informatica è di fondamentale importanza. I difensori possono fare affidamento su Uncoder AI per accelerare le operazioni di Detection Engineering su vasta scala e semplificare la codifica delle regole, il match degli IOC e la fluida traduzione dei contenuti di rilevamento in 65 formati linguistici, automatizzando le attività di routine, risparmiando tempo per il monitoraggio della sicurezza e migliorando la resilienza della rete.
