Bedrohungsakteure Verkettete Schwachstellen in Ivanti Cloud Service-Anwendungen
Die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben ein gemeinsames Cyber-Sicherheits-Gutachten bezüglich der Ausnutzung von Schwachstellen in Ivanti Cloud Service Appliances (CSA) veröffentlicht. Die Schwachstellen, einschließlich CVE-2024-8963, CVE-2024-8190, CVE-2024-9379 und CVE-2024-9380, wurden im September 2024 ausgenutzt, um Angreifern den initialen Zugriff, die Remote-Code-Ausführung, die Erlangung von Anmeldeinformationen und die Einrichtung von Webshells in den Opfer-Netzwerken zu ermöglichen. Die Angreifer haben die Schwachstellen verkettet, um Zugriff zu erlangen, wobei zwei primäre Ausnutzungswege verwendet wurden: einer, der CVE-2024-8963 mit CVE-2024-8190 und CVE-2024-9380 ausnutzte, und ein anderer, der CVE-2024-8963 mit CVE-2024-9379 ausnutzte. Die Schwachstellen betreffen Ivanti CSA-Version 4.6x, Versionen vor 519, und zwei der Schwachstellen betreffen auch CSA-Versionen 5.0.1 und darunter. Ivanti CSA 4.6 ist End-of-Life und erhält keine Patches oder Bibliotheken von Drittanbietern mehr, und CISA und FBI empfehlen Netzwerkadministratoren dringend, auf die neueste unterstützte Version umzusteigen. Netzwerk-Verteidiger werden ermutigt, nach bösartiger Aktivität in ihren Netzwerken zu suchen, indem sie die Erkennungsmethoden und Indikatoren für Kompromisse (IOCs) innerhalb des Gutachtens verwenden. Anmeldeinformationen und sensible Daten, die in den betroffenen Ivanti-Geräten gespeichert sind, sollten als kompromittiert betrachtet werden, und Organisationen sollten Protokolle und Artefakte für bösartige Aktivität sammeln und analysieren. Das Gutachten enthält technische Details zu den Schwachstellen, einschließlich der von den Angreifern verwendeten MITRE ATT&CK-Taktiken und -Techniken. Die Aktivität der Angreifer wurde von drei Opfer-Organisationen erkannt, die in der Lage waren, die Vorfälle durch Ersetzen von virtuellen Maschinen mit sauberen und aktualisierten Versionen zu beheben.