国家主权Actor利用了Ivanti CSA三个零日漏洞

admin 2024年10月15日18:11:09评论11 views字数 1412阅读4分42秒阅读模式

国家主权Actor利用了Ivanti CSA三个零日漏洞

Fortinet FortiGuard实验室的研究人员警告称,一名疑似国家主权Actor已经利用了Ivanti Cloud Service Appliance(CSA)三个零日漏洞,实施恶意活动。这些漏洞是:

  • CVE-2024-9380(CVSS评分:7.2)– Ivanti CSA管理员Web控制台之前版本5.0.2中的OS命令注入漏洞。远程已 authenticated的管理员可以利用漏洞实现远程代码执行。

  • CVE-2024-8190(CVSS评分:7.2)– Ivanti Cloud Services Appliance版本4.6 Patch 518之前的命令注入漏洞。远程已 authenticated的攻击者可以利用漏洞实现远程代码执行。攻击者需要具有管理员级别的权限才能利用这个漏洞。

  • CVE-2024-8963(CVSS评分:9.4)– Ivanti CSA之前版本4.6 Patch 519的路径遍历漏洞。远程未 authenticated的攻击者可以利用漏洞访问受限功能。

Fortinet发布的警告中写道:“我们观察到一个vanced敌手正在利用Ivanti Cloud Services Appliance(CSA)的三个漏洞。我们调查时,两个漏洞中有两个还没有公开知晓。这起事件展示了如何入侵者链零日漏洞以获取目标网络的初始访问权。”

入侵者利用零日漏洞获取未 authenticated的访问权,枚举CSA设备中配置的用户,并尝试获取其密码。然后,攻击者使用获取的gsbadmin和admin密码,利用/gsb/reports.php中的命令注入漏洞,部署Web shell(“help.php”)。警告中写道:“命令注入被发现在以下格式中被利用,其中 PHP脚本/subin/tripwire被执行,参数为–update,后跟一个分号和恶意命令。”

国家主权Actor利用了Ivanti CSA三个零日漏洞

入侵者首先使用的恶意命令将在CSA webroot文件夹下的/gsb目录中创建一个名为help.php的Web shell。

2024年9月10日, Ivanti发布了CVE-2024-8190的安全通告后,入侵者仍在受害者的网络中使用了DateTimeTab.php和reports.php中的命令注入漏洞,可能是为了防止其他入侵者利用这些漏洞。入侵者将POST参数TW_ID和TIMEZONE中的分号替换为下划线,使这些漏洞无效。这一技术经过测试确认,表明入侵者旨在确保对受控环境的独占访问。

入侵者创建了多个Web shell,并将syslog.php文件修改为添加恶意代码,从而将其转换为用于 further利用的Web shell。

Fortinet研究人员在内存分析中发现,入侵者使用了ReverseSocks5代理工具在CSA设备上对内部网络进行攻击。2024年9月7日的日志记录了入侵者尝试在受害系统上部署 Linux内核模块 rootkit,以保持持久访问,即使是对设备进行工厂重置。这与Ivanti CSA设备受控事件的报告相符。

报告结论:“我们观察到高级入侵者利用和链零日漏洞,以在受害者网络中建立滩头访问权。你可以在我们的Threat Signal Report中阅读更多关于Ivanti CSA零日攻击的信息:https://www.fortiguard.com/threat-signal-report/5556。”

原文始发于微信公众号(黑猫安全):国家主权Actor利用了Ivanti CSA三个零日漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月15日18:11:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   国家主权Actor利用了Ivanti CSA三个零日漏洞https://cn-sec.com/archives/3271214.html

发表评论

匿名网友 填写信息