Bedrohungsakteure nutzen eine kürzlich bekannt gegebene Sicherheitslücke aus, die Ivanti Connect Secure, Policy Secure und ZTA-Gateways betrifft, um einen Backdoor mit dem Codenamen DSLog auf anfälligen Geräten zu installieren. Orange Cyberdefense stellte fest, dass die Ausnutzung von CVE-2024-21893 bereits Stunden nach der Veröffentlichung des Proof-of-Concept (PoC)-Codes beobachtet wurde. Die Sicherheitslücke CVE-2024-21893, die von Ivanti zusammen mit CVE-2024-21888 Ende letzten Monats offengelegt wurde, bezieht sich auf eine serverseitige Anforderungsfälschung (SSRF)-Schwachstelle im SAML-Modul, die bei erfolgreicher Ausnutzung den Zugriff auf normalerweise eingeschränkte Ressourcen ohne Authentifizierung ermöglichen könnte. Das Unternehmen aus Utah hat inzwischen eingeräumt, dass die Schwachstelle nur gezielte Angriffe betroffen hat, obwohl das genaue Ausmaß der Kompromittierungen unklar ist.
Letzte Woche enthüllte die Shadowserver Foundation einen Anstieg der Ausnutzungsversuche, die von über 170 eindeutigen IP-Adressen ausgingen, kurz nachdem sowohl Rapid7 als auch AssetNote weitere technische Details geteilt hatten. Die neueste Analyse von Orange Cyberdefense zeigt, dass Kompromittierungen bereits am 3. Februar festgestellt wurden. Bei dem Angriff wurde ein nicht näher genannter Kunde ins Visier genommen, um einen Backdoor einzuschleusen, der einen dauerhaften Fernzugriff ermöglicht. „Der Backdoor wird in eine vorhandene Perl-Datei namens ‚DSLog.pm‘ eingefügt“, sagte das Unternehmen und betonte damit ein wiederkehrendes Muster, bei dem vorhandene legitime Komponenten – in diesem Fall ein Protokollmodul – modifiziert werden, um den bösartigen Code hinzuzufügen.
Der Implantat DSLog verfügt über eigene Tricks, um die Analyse und Erkennung zu erschweren, darunter die Einbettung eines eindeutigen Hash pro Gerät, wodurch es unmöglich wird, den Hash zu verwenden, um dieselbe Backdoor auf einem anderen Gerät zu kontaktieren. Der gleiche Hash-Wert wird den Angreifern in das User-Agent-Header-Feld einer HTTP-Anfrage an das Gerät geliefert, um der Malware zu ermöglichen, den auszuführenden Befehl aus einem Query-Parameter namens „cdi“ zu extrahieren. Die decodierte Anweisung wird dann als root-Benutzer ausgeführt. „Die Webshell gibt keinen Status/Code zurück, wenn man versucht, sie zu kontaktieren“, sagte Orange Cyberdefense. „Es gibt keine bekannte Möglichkeit, sie direkt zu erkennen.“
Es wurde auch beobachtet, dass Bedrohungsakteure „.access“-Logs auf „mehreren“ Geräten löschen, um die Spuren zu verwischen und unter dem Radar zu bleiben. Aber durch die Überprüfung der Artefakte, die bei Ausnutzung der SSRF-Schwachstelle erstellt wurden, konnte das Unternehmen 670 kompromittierte Assets bei einem ersten Scan am 3. Februar feststellen. Diese Zahl ist bis zum 7. Februar auf 524 gesunken. Angesichts der fortgesetzten Ausnutzung von Ivanti-Geräten wird dringend empfohlen, „dass alle Kunden ihr Gerät auf die Werkseinstellungen zurücksetzen, bevor sie das Patch installieren, um zu verhindern, dass der Bedrohungsakteur eine Upgradepersistenz in Ihrer Umgebung erreicht“.