Intelligence de données générative

Cyber sécurité

L'APT chinois développe des exploits pour vaincre les utilisateurs Ivanti corrigés

Réédité par Platon
Réédité par Platon

Date :

Vues: 0

Un groupe d'espionnage chinois est sur le point de développer des logiciels malveillants qui peuvent persister dans les appareils Ivanti Edge même après des correctifs, des mises à niveau et des réinitialisations d'usine.

Quand il pleut, il pleut à verse, et pour les clients Ivanti, il pleut depuis des mois maintenant. Depuis que l'entreprise a révélé deux vulnérabilités à haut risque affectant ses passerelles Connect Secure, Policy Secure et Zero Trust Access (ZTA) (à ce stade, plus de cinq semaines après les premiers exploits enregistrés dans la nature), deux autres bugs sont apparus, et puis un cinquième. Les attaquants en ont profité à tel point que, du moins au sein du gouvernement américain, les agences ont reçu l'ordre de prendre des mesures. Les produits Ivanti hors production afin de rechercher des signes de compromission, avant d'effectuer une réinitialisation d'usine et des correctifs et de remettre l'appliance en production.

Des correctifs autrefois retardés ont finalement commencé à être déployés fin janvier, mais les clients concernés ne sont pas encore sortis du bois. Une recherche publiée par Mandiant cette semaine indique que des Les hackers chinois continuent de exploiter Ivanti pour tout ce que cela vaut, développer de nouvelles méthodes d'intrusion, de furtivité et de persistance plus avancées.

Un groupe, que Mandiant suit comme UNC5325 — et qui s'associe à UNC3886 - utilise des techniques de vie hors du terrain (LotL) pour contourner les défenses des clients, et les chercheurs affirment qu'il n'est qu'à un cheveu de développer des logiciels malveillants capables de persister dans les appareils compromis malgré les correctifs, voire même les réinitialisations complètes. 

Mécanismes de persistance à venir

Les dernières expériences de persistance de l'UNC5325 soulèvent un spectre inquiétant, selon Mandiant.

Dans de rares cas suite à l’exploitation du CVE-2024-21893, le groupe a tenté de militariser un composant légitime de Connect Secure appelé « SparkGateway », ont découvert les chercheurs. SparkGateway permet des protocoles d'accès à distance via un navigateur et, surtout, ses fonctionnalités peuvent être étendues via des plugins.

Dans ce cas, des plugins malveillants. Pitfuel, par exemple, est un plugin SparkGateway que le groupe utilise pour charger l'objet partagé LittleLamb.WoolTea, dont le rôle est de déployer des portes dérobées. LittleLamb.WoolTea se démonise afin de s'exécuter de manière cohérente en arrière-plan de l'appareil et contient plusieurs fonctions et composants conçus pour permettre la persistance entre les mises à niveau du système, les correctifs et les réinitialisations d'usine.

Pour l’instant, le malware n’y parvient pas. Mandiant a découvert que cela était dû à une simple erreur de clé de chiffrement incompatible. Ce n'est donc probablement qu'une question de temps avant qu'ils ne réussissent.

« Nous apprécions les découvertes de nos partenaires de sécurité et gouvernementaux qui permettent à nos clients de se protéger face à cette menace évolutive et hautement sophistiquée », a déclaré un porte-parole d'Ivanti à Dark Reading. « Pour être clair, l'avis du 29 février ne contient pas d'informations sur une nouvelle vulnérabilité, et Ivanti et nos partenaires n'ont connaissance d'aucun cas de persistance réussie d'acteurs malveillants après la mise en œuvre des mises à jour de sécurité et des réinitialisations d'usine recommandées par Ivanti.

 La personne a ajouté : « Ivanti, Mandiant, CISA et les autres organisations auteurs du JCSA continuent de recommander aux défenseurs d'appliquer les conseils de mise à jour disponibles fournis par Ivanti s'ils ne l'ont pas déjà fait, et d'exécuter l'outil de vérification d'intégrité (ICT) mis à jour d'Ivanti, publié le Le 27 février, pour aider à détecter les vecteurs d’attaque connus, parallèlement à une surveillance continue. »

UNC5325 augmente la menace contre Ivanti

Mandiant a également expliqué comment l'UNC5325 a mené des attaques en janvier et février, contournant les mesures d'atténuation de l'entreprise en tirant parti d'une vulnérabilité de falsification de requête côté serveur (SSRF) dans le composant SAML (Security Assertion Markup Language) de ses appliances. CVE-2024-21893, comme il a ensuite été étiqueté, a obtenu un score « élevé » de 8.2 sur 10 sur l'échelle CVSS, et le groupe a été observé en train de l'enchaîner avec la précédente vulnérabilité d'injection de commandes d'Ivanti, CVE-2024-21887.

Fort de cette fenêtre continue sur les appareils vulnérables, le groupe a effectué des reconnaissances contre ses cibles, modifié les paramètres des appareils pour dissimuler son activité, utilisé des outils open source comme interagit ainsi que Injecteur Kubo, et déployé une série de portes dérobées personnalisées : LittleLamb. WoolTea, PitStop, Pitdog, PitJet et PitHook.

Certains de ces outils et mesures ont été particulièrement intelligents, comme les mécanismes de furtivité intégrés à Bushwalk, un shell Web UNC5325 basé sur Perl qui s'intègre dans un composant légitime d'Ivanti Secure Connect. Il a été découvert pour la première fois dans la nature quelques heures seulement après la divulgation initiale du CVE-2024-21893.

Pour dissimuler Bushwalk, les pirates le placent dans un dossier exclu par l'Integrity Checker Tool (ICT) de l'appareil, et modifient un module Perl qui leur permet de l'activer ou de le désactiver en fonction de l'agent utilisateur de la requête HTTP entrante. Cette dernière mesure leur permet de profiter d'un écart mineur dans les TIC.

« L'ICT interne est configurée par défaut pour fonctionner à intervalles de deux heures et est destinée à être exécutée conjointement avec une surveillance continue. Toute modification malveillante du système de fichiers effectuée et annulée entre les intervalles d'analyse de deux heures ne serait pas détectée par l'ICT. Lorsque les routines d’activation et de désactivation sont exécutées avec tact et en succession rapide, cela peut minimiser le risque de détection des TIC en chronométrant la routine d’activation pour qu’elle coïncide précisément avec l’utilisation prévue du webshell BUSHWALK », ont expliqué les auteurs.

Ivanti met à jour son outil de vérification de l'intégrité

Étant donné que les acteurs chinois de la menace continuent de manifester leur intérêt pour les vulnérabilités d'Ivanti, Mandiant exhorte ses clients « à prendre des mesures immédiates pour assurer leur protection s'ils ne l'ont pas déjà fait ».

Alors que les attaques précédentes étaient parvenues à passer inaperçues, Ivanti a publié une nouvelle version de l'ICT pour ses VPN peut aider à détecter ces dernières tentatives de persistance.

« Les TIC ne sont pas destinées à être une solution miracle : il s'agit d'un outil de sécurité important et informatif dans leur arsenal, en complément d'autres outils », a déclaré Ivanti dans sa mise à jour plus tôt cette semaine. « Il est conçu pour fournir un instantané de l’état actuel de l’appliance lorsque l’analyse a lieu et ne peut pas nécessairement détecter l’activité des acteurs malveillants si l’appliance a été remise dans un état propre. D'autres outils de sécurité doivent être utilisés pour surveiller les modifications apportées entre les analyses ainsi que les logiciels malveillants et autres indicateurs de compromission (IoC).

 Il ajoute : « Les TIC se concentrent spécifiquement sur les activités de menace connues déployées par les acteurs malveillants dans la nature. Cela maximise les résultats significatifs pour les clients et minimise les faux positifs, et a été validé par Mandiant sur son blog comme un outil efficace. Nous continuerons à améliorer les TIC pour détecter les menaces connues sur la base de ce que nous et nos partenaires avons vu dans la nature.

« Nous recommandons une approche de défense en profondeur en s'appuyant sur d'autres outils, capacités et ressources humaines de sécurité pour faciliter la détection et la réponse en temps réel », explique Mat Lin, consultant en sécurité chez Mandiant. Il a ajouté qu'en plus des TIC, Ivanti fournit également « des fonctionnalités de transfert de journaux qui pourraient permettre aux organisations de détecter et de répondre aux tentatives d'exploitation en temps réel lorsqu'elles sont correctement configurées. C'est pourquoi il est si important pour leurs clients respectifs d'ajouter une surveillance continue aux outils déjà fournis par Ivanti.

 

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.