Χάκερς εκμεταλλεύονται μια ευπάθεια SSRF (server-side request forgery) στις πύλες Ivanti Connect Secure, Policy Secure και ZTA για να εγκαταστήσουν το νέο backdoor DSLog σε ευάλωτες συσκευές.
Δείτε επίσης: Οι hackers Kimsuky στοχεύουν ερευνητικά κέντρα για διανομή backdoor
Η ευπάθεια, που καταγράφεται ως CVE-2024-21893, αποκαλύφθηκε ως zero-day στις 31 Ιανουαρίου 2024, με την Ivanti να μοιράζεται ενημερώσεις ασφαλείας και συμβουλές για αντιμετώπιση.
Το πρόβλημα επηρεάζει το στοιχείο SAML των αναφερόμενων προϊόντων και επιτρέπει σε επιτιθέμενους να παρακάμψουν την ταυτοποίηση και να έχουν πρόσβαση σε περιορισμένους πόρους σε πύλες Ivanti που λειτουργούν με τις εκδόσεις 9.x και 22.x.
Το πρόβλημα μπορεί να λυθεί μέσω ενημέρωσης των ακόλουθων εκδόσεων: Ivanti Connect Secure 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, and 22.5R2.2; Ivanti Policy Secure 22.5R1.1; and ZTA 22.6R1.3.
Στις 5 Φεβρουαρίου 2024, η υπηρεσία παρακολούθησης απειλών Shadowserver ανέφερε ότι παρατηρήθηκαν πολλαπλοί επιτιθέμενοι να προσπαθούν να εκμεταλλευτούν την ευπάθεια, μερικοί χρησιμοποιώντας PoC που προηγουμένως δημοσιεύτηκαν από την Rapid7, με τον ακριβή ρυθμό επιτυχίας να είναι άγνωστος την συγκεκριμένη στιγμή.
Μία νέα έκθεση από την Orange Cyberdefense επιβεβαιώνει την επιτυχή εκμετάλλευση της ευπάθειας SSRF, γνωστή ως CVE-2024-21893, για την εγκατάσταση ενός νέου backdoor με το όνομα DSLog, που επιτρέπει στους κακόβουλους παράγοντες να εκτελούν εντολές απομακρυσμένα σε παραβιασμένους διακομιστές Ivanti.
Η Orange αναφέρει ότι εντόπισε για πρώτη φορά αυτό το νέο backdoor στις 3 Φεβρουαρίου 2024, αφού ανέλυσε μια υποβαθμισμένη συσκευή που είχε εφαρμόσει την προτεινόμενη από την Ivanti αντιμετώπιση των XML (αποκλεισμός όλων των σημείων τερματισμού της API) αλλά δεν είχε εφαρμόσει το patch.
Εξετάζοντας τα αρχεία καταγραφής της παραβιασμένης συσκευής Invanti, οι ερευνητές της Orange ανακάλυψαν ότι ένα backdoor είχε εισαχθεί στον κώδικα της συσκευής εκδίδοντας αιτήσεις πιστοποίησης SAML που περιείχαν κωδικοποιημένες εντολές.
Δείτε ακόμα: Οι Ρώσοι hackers APT28 μολύνουν οργανισμούς με το HeadLace backdoor
Αυτές οι εντολές εκτελούσαν λειτουργίες όπως η εξαγωγή πληροφοριών συστήματος σε ένα δημόσια προσβάσιμο αρχείο (index2.txt), υποδεικνύοντας ότι οι επιτιθέμενοι στόχευαν να πραγματοποιήσουν εσωτερική εξερεύνηση και να επιβεβαιώσουν τη ριζική πρόσβασή τους.
Το backdoor εισάγεται στο αρχείο DSLog, το οποίο είναι υπεύθυνο για την καταγραφή διάφορων ειδών πιστοποιημένων αιτημάτων ιστού και αρχείων καταγραφής του συστήματος.
Οι επιτιθέμενοι χρησιμοποίησαν ένα μοναδικό SHA256 hash ανά συσκευή ως κλειδί API, απαιτώντας αυτό το hash στην κεφαλίδα HTTP User-Agent για την εκτέλεση εντολών. Η Orange εξηγεί ότι κανένα hash δεν μπορεί να χρησιμοποιηθεί για να επικοινωνήσει με το ίδιο backdoor σε άλλη συσκευή.
Η κύρια λειτουργία του backdoor είναι να εκτελεί εντολές ως root. Η Orange λέει ότι το DSLog backdoor μπορεί να εκτελεί “οποιεσδήποτε εντολές” στην παραβιασμένη συσκευή, που λαμβάνονται μέσω HTTP αιτημάτων από τους επιτιθέμενους.
Η Orange δυστυχώς δεν μπόρεσε να προσδιορίσει το σχήμα που χρησιμοποιήθηκε για τον υπολογισμό του κατακερματισμού SHA256 και σημείωσε ότι τα αρχεία καταγραφής ‘.access‘ απαλείφθηκαν από πολλές μηχανές που είχαν παραβιαστεί για να κρύψουν τις ενέργειες των επιτιθέμενων.
Παρά ταύτα, οι ερευνητές ανακάλυψαν σχεδόν 700 διακομιστές Ivanti εξετάζοντας άλλα στοιχεία, όπως τα αρχεία κειμένου ‘index’ στον κατάλογο ‘hxxp://{ip}/dana-na/imgs/‘.
Περίπου το 20% από αυτά τα σημεία ήταν ήδη επηρεασμένα από προηγούμενες εκστρατείες, ενώ άλλα ήταν ευάλωτα μόνο εξαιτίας της έλλειψης επιπλέον ενημερώσεων ή αντιμετωπίσεων.
Συνιστάται να ακολουθήσετε τις πιο πρόσφατες συστάσεις της Ivanti για να αντιμετωπίσετε όλες τις απειλές που στοχεύουν τα προϊόντα του προμηθευτή αξιοποιώντας αυτήν την SSRF ή οποιαδήποτε από τις πρόσφατα αποκαλυφθείσες ευπάθειες που επηρεάζουν τις συσκευές της Ivanti.
Δείτε επίσης: Νέο WordPress backdoor οδηγεί σε παραβίαση sites
Ποια είναι η βασική ιδέα των backdoor απειλών;
Η βασική ιδέα των backdoor απειλών είναι η παράκαμψη των κανονικών μεθόδων πρόσβασης σε ένα σύστημα ή δίκτυο, δίνοντας στον εισβολέα τη δυνατότητα να ελέγχει, να κατασκοπεύει ή να προκαλεί ζημιά. Τα backdoors μπορεί να εγκατασταθούν με διάφορους τρόπους, συμπεριλαμβανομένων των ευπαθειών λογισμικού, των κακόβουλων λογισμικών ή ακόμη και των φυσικών επιθέσεων.
Η ανίχνευση των backdoors μπορεί να είναι δύσκολη, καθώς συχνά είναι σχεδιασμένα για να παραμένουν κρυφά, χρησιμοποιώντας τεχνικές όπως η απόκρυψη της επικοινωνίας και η αλλαγή της συμπεριφοράς τους για να αποφύγουν την ανίχνευση.
Για την αντιμετώπιση των backdoor απειλών, είναι απαραίτητη η χρήση ενημερωμένων λύσεων ασφαλείας, η εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή των κακόβουλων επιθέσεων και η διεξαγωγή τακτικών ελέγχων ασφαλείας.
Πηγή: bleepingcomputer
