Eine chinesische Hackergruppe namens UTA0178 hat zwei Zero-Day-Schwachstellen in den Produkten Ivanti Connect Secure (ICS) und Policy Secure ausgenutzt, um auf weniger als 10 Kunden zuzugreifen. Das Sicherheitsunternehmen Volexity hat die Aktivität in der Netzwerkumgebung eines Kunden im zweiten Dezember der Woche 2023 aufgedeckt. Es gibt Hinweise darauf, dass das VPN-Gerät bereits am 3. Dezember 2023 kompromittiert wurde.
Die beiden Schwachstellen, die ausgenutzt wurden, um eine nicht authentifizierte Befehlsausführung auf dem ICS-Gerät zu erreichen, sind:
– ${match} (CVSS-Score: 8.2) – Eine Authentifizierungsbypass-Schwachstelle in der Webkomponente von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure ermöglicht es einem entfernten Angreifer, auf eingeschränkte Ressourcen zuzugreifen, indem Kontrollprüfungen umgangen werden.
– ${match} (CVSS-Score: 9.1) – Eine Befehlseinschleusungs-Schwachstelle in den Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure ermöglicht es einem authentifizierten Administrator, speziell präparierte Anfragen zu senden und beliebige Befehle auf dem Gerät auszuführen.
Die Schwachstellen können zu einem Exploit-Chain zusammengesetzt werden, um anfällige Instanzen über das Internet zu übernehmen.
Laut Ivanti haben die Bedrohungsakteure versucht, den internen Integritätsprüfer (ICT) von Ivanti zu manipulieren, der einen Momentaufnahme des aktuellen Zustands des Geräts bietet.
Patches sollen ab der Woche des 22. Januar 2024 in gestaffelter Weise veröffentlicht werden. In der Zwischenzeit wird den Benutzern empfohlen, eine Workaround-Maßnahme zu ergreifen, um sich vor potenziellen Bedrohungen zu schützen.
In dem von Volexity analysierten Vorfall wurden die beiden Schwachstellen verwendet, um „Konfigurationsdaten zu stehlen, existierende Dateien zu modifizieren, Remote-Dateien herunterzuladen und eine Reverse Tunnel von der ICS-VPN-Appliance aufzubauen“. Der Angreifer hat auch eine legitime CGI-Datei (compcheck.cgi) auf der ICS-VPN-Appliance modifiziert, um die Ausführung von Befehlen zu ermöglichen. Darüber hinaus wurde eine JavaScript-Datei, die von der Web-SSL-VPN-Anmeldeseite geladen wird, geändert, um Tastatureingaben aufzuzeichnen und Anmeldeinformationen der Benutzer zu exfiltrieren.
Die Angriffe zeichnen sich auch durch Aufklärungsmaßnahmen, laterale Bewegung und den Einsatz einer benutzerdefinierten Webshell namens GLASSTOKEN über die manipulierte CGI-Datei aus, um den extern zugänglichen Webservern dauerhaften Remote-Zugriff zu ermöglichen.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die beiden Schwachstellen in ihr Katalog der bekannten verwundbaren Schwachstellen (KEV) aufgenommen und fordert Bundesbehörden auf, die Fixes bis zum 31. Januar 2024 anzuwenden.
Volexity warnt, dass internetzugängliche Systeme wie VPN-Geräte und Firewalls erneut bevorzugte Ziele von Angreifern geworden sind. Organisationen müssen sicherstellen, dass sie eine Strategie haben, um Aktivitäten von diesen Geräten zu überwachen und schnell zu reagieren, wenn etwas Unerwartetes auftritt.