Ciberseguridad 360 | Nuevas brechas en Ivanti permiten infiltraciones estatales

Un presunto adversario de un estado-naci�n ha sido observado armando tres fallos de seguridad en Ivanti Cloud Service Appliance (CSA) de d�a cero para realizar una serie de acciones maliciosas.

Eso es seg�n los hallazgos de Fortinet FortiGuard Labs, que dijo que las vulnerabilidades fueron abusadas para obtener acceso no autenticado a la CSA, enumerar los usuarios configurados en el dispositivo, y tratar de acceder a las credenciales de esos usuarios.

�Los adversarios avanzados fueron observados explotando y encadenando vulnerabilidades de d�a cero para establecer acceso de cabeza de playa en la red de la v�ctima�, dijeron los investigadores de seguridad Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans y Robert Reyes.

Los fallos en cuesti�n se enumeran a continuaci�n:

CVE-2024-8190 (puntuaci�n CVSS: 7,2) - Un fallo de inyecci�n de comandos en el recurso /gsb/DateTimeTab.php
CVE-2024-8963 (puntuaci�n CVSS: 9,4) - Una vulnerabilidad de path traversal en el recurso /client/index.php
CVE-2024-9380 (puntuaci�n CVSS: 7,2) - Una vulnerabilidad de inyecci�n de comando autenticado que afecta al recurso reports.php

En la siguiente etapa, se utilizaron las credenciales robadas asociadas a gsbadmin y admin para realizar una explotaci�n autenticada de la vulnerabilidad de inyecci�n de comandos que afectaba al recurso /gsb/reports.php con el fin de soltar un shell web (�help.php�).

�El 10 de septiembre de 2024, cuando el aviso para CVE-2024-8190 fue publicado por Ivanti, el actor de la amenaza, a�n activo en la red del cliente, 'parche�' las vulnerabilidades de inyecci�n de comandos en los recursos /gsb/DateTimeTab.php, y /gsb/reports.php, haci�ndolos inexplotables.�

�En el pasado, se ha observado que los actores de amenazas parchean las vulnerabilidades despu�s de haberlas explotado, y conseguido afianzarse en la red de la v�ctima, para impedir que cualquier otro intruso acceda al activo o activos vulnerables, e interfiera potencialmente en sus operaciones de ataque.�

Explotaci�n de la vulnerabilidad SQLi

Los atacantes desconocidos tambi�n han sido identificados abusando de CVE-2024-29824, un fallo cr�tico que afecta a Ivanti Endpoint Manager (EPM), despu�s de comprometer el dispositivo CSA orientado a Internet. En concreto, se trataba de habilitar el procedimiento almacenado xp_cmdshell para lograr la ejecuci�n remota de c�digo.

Cabe se�alar que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. a�adi� la vulnerabilidad a su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV) en la primera semana de octubre de 2024.

Algunas de las otras actividades inclu�an la creaci�n de un nuevo usuario llamado mssqlsvc, la ejecuci�n de comandos de reconocimiento y la exfiltraci�n de los resultados de esos comandos mediante una t�cnica conocida como tunelizaci�n DNS utilizando c�digo PowerShell. Tambi�n cabe destacar el despliegue de un rootkit en forma de objeto del kernel de Linux (sysinitd.ko) en el dispositivo CSA comprometido.

�Seg�n los investigadores de Fortinet, el motivo m�s probable es que el autor de la amenaza mantuviera la persistencia a nivel de kernel en el dispositivo CSA, que podr�a sobrevivir incluso a un restablecimiento de f�brica.� afirman los investigadores de Fortinet.

Fuente: thehackernews