One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8447805 |
| Date de publication | 2024-02-07 21:04:11 (vue: 2024-02-07 22:08:46) |
| Titre | THREAT ALERT: Ivanti Connect Secure VPN Zero-Day Exploitation |
| Texte | #### Description
Les appareils VPN Ivanti ont été exploités par deux vulnérabilités critiques, CVE-2023-46805 et CVE-2024-21887, qui n'ont pas été corrigées au moment de la divulgation.Ces vulnérabilités permettent l'exécution des commandes non autorisées et l'accès du système sur les dispositifs de sécurité orientés Internet, compromettant l'intégrité des tunnels VPN sécurisés et exposant des réseaux internes privés à l'espionnage potentiel et au vol de données.
Les attaquants ont exploité ces vulnérabilités pour modifier les composants sécurisés légitimes de l'Ivanti Connect, en arrière-plan du fichier compcheckResult.cgi pour activer l'exécution de commandes distantes et modifier les fichiers JavaScript dans le composant VPN Web Web pour capturer et exfiltrat des informations de connexion de l'utilisateur.Les vulnérabilités supplémentaires divulguées par Ivanti le 31 janvier, CVE-2024-21888 et CVE-2024-21893, permettent également une exécution de commande à distance non authentifiée avec des privilèges élevés, augmentant la surface d'attaque pour les acteurs malveillants.
L'impact de ces vulnérabilités est profond, permettant aux attaquants de contourner l'authentification multi-facteurs, de voler des informations confidentielles, d'établir des canaux de commande et de contrôle secrètes et de perturber potentiellement les opérations critiques.L'analyse de l'attribution de Mandiant indique que ces vulnérabilités ont d'abord été exploitées activement par un acteur de menace d'espionnage de China-Nexus, connu sous le nom de UNC5221, ainsi que d'autres groupes de menaces non classés par le biais de méthodes automatisées.L'enquête sur l'exploitation des vulnérabilités d'Ivanti a produit plusieurs observations critiques, en mettant en lumière les tactiques, techniques et procédures (TTP) employées par les attaquants, ainsi que les implications plus larges de ces infractions de sécurité.Les techniques d'exploitation sophistiquées, l'automatisation et le ciblage large, les techniques d'évasion et le vol et le détournement de session sont quelques-unes des observations clés.
#### URL de référence (s)
1. https://www.cybereason.com/blog/thereat-lert-ivanti-connect-secure-vpn-zero-day-explotation
2. https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-ay-vulnerabilities-in-ivanti-connect-secure-vpn/
3. https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero-day-vulnerability/
4. https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
#### Date de publication
5 février 2024
#### Auteurs)
Équipe de services de sécurité de la cyberéasie
#### Description Ivanti VPN appliances have been exploited through two critical vulnerabilities, CVE-2023-46805 and CVE-2024-21887, which were not patched at the time of disclosure. These vulnerabilities allow unauthorized command execution and system access on Internet-facing security devices, compromising the integrity of secure VPN tunnels and exposing private internal networks to potential espionage and data theft. Attackers exploited these vulnerabilities to modify legitimate Ivanti Connect Secure components, backdooring the compcheckresult.cgi file to enable remote command execution and altering JavaScript files within the Web SSL VPN component to capture and exfiltrate user login credentials. The additional vulnerabilities disclosed by Ivanti on January 31st, CVE-2024-21888 and CVE-2024-21893, also allow for unauthenticated remote command execution with elevated privileges, increasing the attack surface for malicious actors. The impact of these vulnerabilities is profound, enabling attackers to bypass multi-factor authentication, steal confidential information, establish covert command and control channels, and potentially disrupt critical operations. Attribution analysis by Mandiant indicates that these vulnerabiliti |
| Envoyé | Oui |
| Condensat | #### 2023 2024 21887 21888 21893 31st 46805 access actively actor actors additional alert alert: allow also altering analysis appliances apt are attack attackers attribution authentication author automated automation backdooring been breaches broad broader bypass capture cgi channels china com/blog/2024/01/10/active com/blog/2024/02/01/how com/blog/threat com/resources/blog/suspected command compcheckresult component components compromising confidential connect control covert credential credentials critical cve cybereason data date day description devices disclosed disclosure disrupt elevated employed enable enabling espionage establish evasion execution exfiltrate exploitation exploited exposing facing factor february file files first forensics groups has have hijacking https://www impact implications increasing indicates information integrity internal internet investigation ivanti january javascript key known legitimate light login malicious mandiant memory methods modify multi networks nexus not observations operations other patched potential potentially private privileges procedures profound publication reference remote revealed secure security services session several shedding some sophisticated ssl steal surface suspected system tactics targeting targets team techniques theft these threat through time ttps tunnels two unauthenticated unauthorized unc5221 uncategorized url user volexity vpn vpn/ vulnerabilities vulnerabilities/ web well which within yielded zero |
| Tags | Threat Vulnerability |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.