Исследователи FortiGuard Labs обнаружили сложную кибератаку, воздействующую на Ivanti Cloud Services Appliance (CSA) версии 4.6 и более ранних версий, эксплуатирующую три уязвимости, включая нулевой день CVE-2024-8190.
Атака на Ivanti CSA
Атака началась с эксплуатации CVE-2024-8190, уязвимости инъекции команд, а также двух дополнительных уязвимостей, которые на момент эксплуатации были неизвестны широкой публике. Эти уязвимости позволили злоумышленнику получить несанкционированный доступ к важным ресурсам и эксплуатировать систему дальше.
Атака была впервые обнаружена, когда сеть жертвы начала взаимодействовать с вредоносным IP-адресом. Злоумышленник использовал дефект обхода пути, CVE-2024-8963, для получения несанкционированного доступа к файлам, включая список пользователей системы, что помогло ему повысить привилегии. Получив такой плацдарм, злоумышленники использовали дополнительную уязвимость, получив контроль над системой и выполнив вредоносные команды.
Злоумышленники также создали неавторизованные учетные записи пользователей для поддержания постоянного доступа, провели атаку грубой силы на внутреннюю сеть и использовали взломанное устройство CSA в качестве прокси для дальнейших атак. Примечательно, что злоумышленники даже самостоятельно исправили уязвимости, не позволив другим атакующим использовать те же недостатки.
Indicators of Compromise
IPv4
- 156.234.193.18
- 193.189.100.197
- 206.189.156.69
- 208.105.190.170
- 216.131.75.52
- 23.236.66.97
- 24.166.100.255
- 3.248.33.252
- 34.250.195.30
- 38.207.159.76
- 45.61.136.189
- 51.91.79.17
- 54.77.139.23
- 67.217.228.92
- 69.49.88.235
- 74.62.81.162
Domains
- 189f31ed7d.ipv6.bypass.eu.org
- apiv5.serverbks.xyz
- c67f045c2f.ipv6.1433.eu.org
- iowxuintgredogzgblrsmr2cx2e471bor.oast.fun
- o.lencr.org
- portswigger.net
URLs
- http://l8u6aolk4ejfsl9zeq6321zvwm2eq3.burpcollaborator.net
- http://temp.sh/khkzg/DateTimeTab.php
- http://temp.sh/vQuoW/reports.php
SHA1
- 64efc1aad330ea9d98c0c705e16cd4b3af7e74f8
- beb723a5f20a1a2c4375f9aa250d968d55155689
SHA256
- 6edd7b3123de985846a805931ca8ee5f6f7ed7b160144aa0e066967bc7c0423a
- 8d016d02f8fbe25dce76481a90dd0b48630ce9e74e8c31ba007cf133e48b8526
- d57a2cac394a778e19ce9b926f2e0a71936510798f30d20f207f2a49b49ce7b1