DSLog backdoor
Az Orange Cyberdefense jelentése szerint az Ivanti vállalati VPN-ek nemrégiben javított nulladik napi sebezhetőségét kihasználják a DSLog nevű hátsó ajtót alkalmazó támadásokban.
Az Orange Cyberdefense felfedezte, hogy a támadók a SAML sebezhetőséget kihasználva back door-t vittek be az Ivanti készülék egyik komponensébe, így a támadó tartós távoli hozzáférést kapott. A támadók intézkedéseket is hoztak a hátsó ajtóhoz való hozzáférés ellenőrzésére – jelezte a Orange Cyberdefense. A CVE-2024-21893 néven nyomon követett probléma egy szerveroldali kéréshamisítási (SSRF) hiba, amelyet az Ivanti Connect Secure, a Policy Secure és a Neurons for ZTA SAML komponensében azonosítottak, és amely hitelesítés nélkül kihasználható érzékeny információk kiszivárogtatására.
Az Ivanti január 31-én hozta nyilvánosságra a sebezhetőséget, amikor a vállalati VPN-készülékeiben lévő három másik sebezhetőséghez is kiadott javításokat, köztük két olyanhoz, amelyet január elején kihasználható nulladik napként jelöltek meg.
Tudomásunk van arról, hogy a CVE-2024-21893 korlátozott számú ügyfelet érint – jegyezte meg az Ivanti a tájékoztatójában.
Egy új jelentésében az Orange Cyberdefense azt állítja, hogy támadókat figyelt meg a sebezhetőség kihasználására röviddel azután, hogy a Rapid7 és az AssetNote kiadta a sebezhetőséget célzó proof-of-concept (PoC) kódot.