아이반티 클라우드 서비스 애플리케이션에 있는 취약점을 ... 노트

아이반티 클라우드 서비스 애플리케이션에 있는 취약점을 체인으로 연결한 위협 행위자

사이버 보안 및 인프라 보안 기관(CISA)과 연방수사국(FBI)은 Ivanti Cloud Service Appliances (CSA)의 취약점을 악용하는 것에 대한 공동 사이버 보안 고지를 발표했습니다. 취약점은 CVE-2024-8963, CVE-2024-8190, CVE-2024-9379 및 CVE-2024-9380를 포함하며, 2024년 9월에 악용되어 위협 행위자가 초기 접근을 얻고 원격 코드 실행을 수행하며 자격 증명을 얻고 피해자 네트워크에 웹셸을 심었습니다. 행위자는 두 가지 주요 악용 경로를 사용하여 접근을 얻었습니다. 하나는 CVE-2024-8963을 CVE-2024-8190 및 CVE-2024-9380과 함께 사용하고, 다른 하나는 CVE-2024-8963을 CVE-2024-9379와 함께 사용했습니다. 취약점은 Ivanti CSA 버전 4.6x 버전 519 이전에 영향을 미치며, 두 가지 취약점은 CSA 버전 5.0.1 및 이전 버전에도 영향을 미칩니다. Ivanti CSA 4.6은 End-of-Life 상태이며 패치나 서드파티 라이브러리를 더 이상 받지 않으므로 CISA와 FBI는 네트워크 관리자에게 최신 지원 버전으로 업그레이드할 것을 강력히 권고합니다. 네트워크 방어자는 고지서에 있는 탐지 방법과 위협 행위자에 대한 지표(IOCs)를 사용하여 네트워크에서 악의적인 활동을 찾는 것을 권장합니다. 영향을 받은 Ivanti 장치에 저장된 자격 증명 및 민감한 데이터는 손상된 것으로 간주되어야 하며, 조직은 악의적인 활동에 대한 로그 및 아티팩트를 수집하고 분석해야 합니다. 고지서는 취약점에 대한 기술 세부 정보를 제공하며, 이는 MITRE ATT&CK 전략 및 기술을 사용하는 위협 행위자에 의해 사용됩니다. 행위자의 활동은 세 가지 피해자 조직에서 감지되었으며, 이들은 가상 머신을 깨끗하고 업그레이드된 버전으로 교체하여 사고를 완화했습니다.