Ivanti sérülékenység elemzése
2024. január 12-én a Mandiant egy blogbejegyzést tett közzé, amelyben részletesen ismertette az Ivanti Connect Secure VPN (CS, korábban Pulse Secure) és az Ivanti Policy Secure (PS) eszközöket érintő két nagy hatású nulladik napi sebezhetőséget, a CVE-2023-46805 és a CVE-2024-21887-et. 2024. január 31-én az Ivanti nyilvánosságra hozott két további, a CS és PS eszközöket érintő sebezhetőséget, a CVE-2024-21888 és a CVE-2024-21893 kódokat.
A sebezhetőségek lehetővé teszik, hogy egy nem hitelesített fenyegető szereplő tetszőleges parancsokat hajtson végre az eszközökön, megnövelt jogosultságokkal. A Mandiant azonosította e sebezhetőségek nulladik napi kihasználását már 2023. december 3-tól kezdve egy feltételezett kínai kémkedéssel foglalkozó, jelenleg UNC5221 néven nyomon követett fenyegető szereplő által.
A Mandiant a két sebezhetőség nyilvánosságra hozatalát követően széles körű kihasználási tevékenységet azonosított, mind az UNC5221, mind más, nem kategorizált fenyegető csoportok részéről. A Mandiant értékelése szerint a bejelentést követő tevékenység jelentős részét automatizált módszerekkel hajtották végre.
A Mandiant új jelentésében ismerteti az UNC5221 és más fenyegető csoportok által alkalmazott további taktikákat, technikákat és eljárásokat (TTP-k) a kihasználás utáni tevékenység során az incidensre adott válaszlépéseink során. Emellett részletezik az UNC5221 által használt, korábban azonosított rosszindulatú szoftvercsaládok új családjait és változatait is. Elismerik annak lehetőségét, hogy egy vagy több kapcsolódó csoport is kapcsolatban állhat az ebben a blogbejegyzésben leírt tevékenységgel. Valószínű, hogy az UNC5221-n kívül további csoportok is átvettek egy vagy több ilyen eszközt.
A Mandiant megosztotta az azonosításhoz szükséges mutatókat.