CVE-2023-46805 e CVE-2024-21887 Detecção: Atores de Ameaças Chinesas Exploram Vulnerabilidades Zero-Day em Instâncias Invanti Connect Secure e Policy Secure
Índice:
Vulnerabilidades críticas de dia zero que afetam sistemas voltados para o exterior representam ameaças severas para várias organizações que dependem deles, expondo-as a riscos de RCE e comprometimento do sistema, assim como a exploração ativa da falha FortiOS SSL-VPN causou estragos em janeiro de 2023. Recentemente, grupos de hackers patrocinados pelo estado chinês foram observados explorando duas vulnerabilidades de dia zero rastreadas como CVE-2023-46805 & CVE-2024-21887 em Ivanti Connect Secure (ICS) e appliances Policy Secure. As falhas detectadas podem ser armadas por atacantes para criar uma cadeia de exploração, permitindo a tomada de controle de instâncias impactadas pela internet. Espera-se que as correções de vulnerabilidade sejam lançadas gradualmente, começando na semana de 22 de janeiro de 2024.
Detectar uma Cadeia de Exploração Potencial CVE-2023-46805 e CVE-2024-21887
A exploração de vulnerabilidades continua a ser um dos principais vetores de intrusão para atores patrocinados por estados, e na última década, o número de aplicações vulneráveis aumentou drasticamente. Na primeira semana de janeiro de 24, profissionais de segurança revelaram mais de 600 novas falhas de segurança, contribuindo para um total anual de mais de 29.000 relatados em 2023.
Para estar à frente das ameaças emergentes e descobrir ataques cibernéticos em seus estágios iniciais de desenvolvimento, os defensores cibernéticos precisam de ferramentas inovadoras de caça a ameaças junto com uma fonte confiável de conteúdo de detecção. A plataforma SOC Prime para defesa cibernética coletiva agrega mais de 11 mil regras Sigma baseadas em comportamento para garantir que nenhuma ameaça passe despercebida sob sua vigilância. Clique no Botão Explorar Detecções abaixo e aprofunde-se na lista de regras destinadas à detecção de exploração de CVE-2023-46805 e CVE-2024-21887.
Todas as regras são compatíveis com 28 soluções SIEM, EDR, XDR e Data Lake e mapeadas para a estrutura MITRE ATT&CK. Além disso, as detecções são enriquecidas com metadados detalhados, incluindo links CTI, referências de mídia, recomendações de triagem, etc.
Análise de CVE-2023-46805 e CVE-2024-21887
Pesquisadores da Ivanti recentemente identificaram e levantaram preocupações sobre duas vulnerabilidades de dia zero rastreadas como CVE-2023-46805 e CVE-2024-21887, que estão atualmente sendo ativamente exploradas por atores ligados a nações chinesas. Os bugs de segurança afetam os gateways Ivanti Connect Secure (ICS) e Ivanti Policy Secure. Todas as versões de software, incluindo as versões 9.x e 22.x, estão afetadas.
CVE-2023-46805, com uma classificação CVSS de 8.2, é uma falha de bypass de autenticação que dá luz verde aos adversários para acessar remotamente materiais restritos, evadindo verificações de controle. CVE-2024-21887, classificada com 9.1 na escala CVSS, é uma vulnerabilidade crítica de injeção de comandos que permite que administradores autenticados enviem solicitações específicas e executem comandos arbitrários nos dispositivos impactados. Ambas as vulnerabilidades podem ser encadeadas, permitindo que os atacantes ganhem controle sobre dispositivos comprometidos.
Em dezembro de 2023, pesquisadores da Volexity foram os primeiros a detectar a atividade suspeita envolvendo a exploração em campo de CVE-2023-46805 e CVE-2024-21887, levando a RCE não autenticada em appliances VPN Ivanti Connect Secure. Os pesquisadores ligam a atividade adversária descoberta a um grupo de hackers rastreado como UTA0178. A exploração bem-sucedida capacita os atacantes a alcançar dados de configuração, alterar arquivos existentes, recuperar arquivos remotamente e estabelecer um túnel reverso a partir do appliance VPN ICS, levando a mais comprometimentos do sistema.
Os ataques em andamento também envolvem reconhecimento, movimentação lateral e o uso de um web shell personalizado chamado GLASSTOKEN. Este último é implantado por meio de um arquivo CGI comprometido, garantindo acesso remoto persistente a servidores web voltados ao público. Notavelmente, adversários suspeitos de serem apoiados por nações implantaram pelo menos cinco famílias de malware diversificadas em suas atividades pós-exploração.
Devido aos crescentes riscos da exploração ativa de dia zero do VPN Ivanti em campo, o CISA adicionou as falhas ao seu Catálogo de Vulnerabilidades Conhecidas Exploradas e recentemente emitiu um alerta dedicado para aumentar a conscientização sobre cibersegurança.
Em resposta aos riscos crescentes, a Ivanti publicou um aviso de segurança cobrindo os detalhes da vulnerabilidade e possíveis mitigações enquanto as correções estão a caminho. Enquanto isso, os usuários Ivanti são aconselhados a implementar uma solução alternativa como medida de precaução contra ameaças potenciais. Organizações que utilizam appliances VPN ICS também são fortemente recomendadas a examinar minuciosamente seus logs, telemetria de rede e os resultados da Ferramenta de Verificação de Integridade Interna para identificar rapidamente quaisquer indicações de comprometimento bem-sucedido.
Como sistemas expostos à Internet, particularmente dispositivos cruciais como appliances VPN e firewalls, surgem como alvos altamente favorecidos por hackers, os defensores devem estar constantemente em alerta para prevenir tais ataques. Com os ataques em andamento em campo nos quais hackers apoiados pela China armam os zero-days do VPN Ivanti, aumentar a resiliência cibernética é de valor primordial. Os defensores podem contar com Uncoder AI para acelerar operações de engenharia de detecção em escala e simplificar a codificação de regras, correspondência de IOC e tradução suave de conteúdo de detecção em 65 formatos de linguagem enquanto automatizam tarefas rotineiras, economizando tempo para monitoramento de segurança e melhorando a resiliência da rede.
