Тихий убийца DSLog: 670+ ИТ-систем заражены без единого выстрела

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Неудачное исправление позволило хакерам внедрить бэкдор в кодовую базу устройств.

Хакеры используют уязвимость типа SSRF (Server-Side Request Forgery) в продуктах Ivanti Connect Secure (ICS), Policy Secure (IPS) и ZTA для развертывания нового бэкдора DSLog на уязвимых устройствах.

Ошибка CVE-2024-21893 (оценка CVSS: 8.2) была обнародована 31 января и описывается как «активно эксплуатируемая уязвимость нулевого дня». После обнаружения компания Ivanti предоставила обновления безопасности и рекомендации по смягчению последствий.

Уязвимость затрагивает компонент SAML указанных продуктов и позволяет атакующим обойти аутентификацию и получить доступ к ограниченным ресурсам на шлюзах Ivanti, работающих на версиях 9.x и 22.x. Для устранения проблемы были выпущены обновления:

  • Ivanti Connect Secure версий 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 и 22.5R2.2;
  • Ivanti Policy Secure версии 22.5R1.1;
  • ZTA версии 22.6R1.3.

5 февраля 2024 года служба мониторинга угроз Shadowserver сообщила о множественных попытках хакеров использовать уязвимость (441 попытка), в том числе с применением ранее опубликованных доказательств концепции (PoC) эксплойтов от Rapid7, при этом успех попыток на тот момент оставался неизвестным.

В новом отчете Orange Cyberdefense подтверждается успешное использование CVE-2024-21893 для установки нового бэкдора под названием DSLog, который позволяет злоумышленникам удаленно выполнять команды на скомпрометированных серверах Ivanti. Первое обнаружение бэкдора датируется 3 февраля 2024 года после анализа скомпрометированного устройства, на котором было реализовано предложенное Ivanti средство защиты от XML (блокировка всех конечных точек API), но исправление не было применено.

Забудь про блокировки! VPN через Телеграмм-бот для России!

Бэкдор DSLog был внедрен в кодовую базу устройства Ivanti путем отправки запросов аутентификации SAML, содержащих закодированные команды. Команды выполняли такие операции, как вывод информации о системе в общедоступный файл (index2.txt), что указывает на то, что злоумышленники стремились провести внутреннюю разведку и подтвердить свой root-доступ.

  Zardoor: благотворительный фонд Саудовской Аравии уже 3 года контролируется шпионами

Атакующие использовали уникальный хэш SHA256 для каждого устройства в качестве API-ключа, требуя этот хэш в заголовке HTTP User-Agent для выполнения команд. Orange Cyberdefense поясняет, что бэкдор DSLog может выполнять «любые команды» на скомпрометированном устройстве, получаемые через HTTP-запросы от атакующих, причем команда включена в параметр запроса с именем «cdi». HTTP-запросы содержат специальный хэш SHA256, соответствующий затронутому устройству, который служит ключом для аутентификации запроса к бэкдору.

Исследователи отмечают, что из-за того, что веб-шелл не возвращает статус/код при попытке связи, он особенно скрытен. Orange также не смогла определить схему, используемую для расчета хэша SHA256, и отметила, что журналы «.access» были стерты на нескольких скомпрометированных устройствах для скрытия действий атакующих.

Тем не менее, исследователям удалось обнаружить почти 700 скомпрометированных серверов Ivanti, проанализировав другие артефакты, такие как текстовые файлы «index» в директории «hxxp://{ip}/dana-na/imgs/». Примерно 20% конечных точек уже пострадали от предыдущих кампаний, в то время как остальные оказались уязвимыми из-за отсутствия дополнительных исправлений или мер по смягчению последствий.

Напомним, что недавно Ivanti предупредила клиентов о новой уязвимости обхода аутентификации CVE-2024-22024 (оценка CVSS: 8.3), затрагивающей шлюзы Connect Secure (ICS), Policy Secure (IPS) и ZTA, призвав администраторов немедленно защитить свои устройства.

Уязвимость была выявлена в ходе внутреннего обзора, проведенного компанией в рамках продолжающегося расследования множества недостатков в продуктах, обнаруженных с начала года. В конце январе Ivanti выпустила ряд исправлений для уязвимых шлюзов ICS и IPS. Однако параллельно в компании обнаружили ещё две новых уязвимости нулевого дня (zero-day), в числе которых CVE-2024-21893.

Кибербезопасность – это просто, если знаешь как.

Подпишись и узнай!

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

  Кибертерроризм детской больницы: Lurie Children's Hospital - символ беззащитности детей в цифровом мире

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.