Ivanti Connect Secure VPN kihasználása
2024. január 10-én az Ivanti nyilvánosságra hozott két sebezhetőséget, a CVE-2023-46805 és CVE-2024-21887-et, amelyek az Ivanti Connect Secure VPN (“CS”, korábban Pulse Secure) és az Ivanti Policy Secure (“PS”) eszközöket érintik. A sikeres kihasználás a hitelesítés megkerülését és parancsinjekciót eredményezhet, ami az áldozat hálózatának további veszélyeztetéséhez vezethet. A Mandiant azonosította e sebezhetőségek nulladik napi kihasználását a vadonban már 2023 decemberétől kezdődően egy feltételezett kémkedési célú fenyegető szereplő által, akit jelenleg UNC5221 néven követnek nyomon. Az Ivanti szorosan együttműködik a Mandiant-tal, az érintett ügyfelekkel, kormányzati partnerekkel és a Volexityvel e problémák kezelése érdekében. A vizsgálat részeként az Ivanti kiadott egy blogbejegyzést és enyhítéseket a kampányban kihasznált sebezhetőségekre vonatkozóan, hogy segítsen meghatározni, hogy a rendszereket érintette-e a támadás. A javítások jelenleg kidolgozás alatt állnak, és az Ivanti ügyfeleinek ajánlott követniük a KB-cikket, hogy tájékozódjanak a céldátumokról és a kiadásokról. A Mandiant öt, a CS és PS eszközök kihasználásával összefüggésbe hozható rosszindulatú szoftvercsalád részleteit osztja meg. Ezek a családok lehetővé teszik a fenyegető szereplők számára, hogy megkerüljék a hitelesítést és hátsó ajtós hozzáférést biztosítsanak ezekhez az eszközökhöz. A vizsgálatunk során további, a kihasználás utáni eszközöket is azonosítottunk, amelyeket ebben a bejegyzésben tovább emeljük ki.