Главная страница » IOC
0
2 месяца
IOC

Злоумышленники объединили уязвимости в приложениях облачного сервиса Ivanti

security

Агентство по кибербезопасности и защите инфраструктуры (CISA) и Федеральное бюро расследований (FBI) выпустили совместное сообщение, предупреждая о серьезных уязвимостях в Ivanti Cloud Service Appliances (CSA) и эксплуатации этих уязвимостей хакерами. Уязвимости включают обход администратора, SQL-инъекцию и удаленное выполнение кода.

Описание

Согласно данным CISA и сторонних организаций, злоумышленники использовали уязвимости для получения доступа, удаленного выполнения кода, сбора учетных данных и внедрения вредоносных программ. Два основных метода эксплуатации были идентифицированы, включая использование нескольких уязвимостей в одной цепочке. CISA и FBI очень рекомендуют администраторам обновиться до последней версии Ivanti CSA и принимать меры по обнаружению и предотвращению возможной вредоносной активности.

Известно, что все четыре уязвимости затрагивают Ivanti CSA версии 4.6x до 519, а две уязвимости также воздействуют на версию 5.0.1 и ниже. Из-за того, что версия 4.6 является устаревшей, CISA и FBI советуют обновиться до последней поддерживаемой версии. Организации также рекомендуется проверить свои сети на наличие вредоносной активности, использовать подробные индикаторы компрометации (IOC) и принять необходимые меры для реагирования на инциденты.

Компания Ivanti также выпустила рекомендации по безопасности, раскрывающие детали эксплуатации уязвимостей CVE-2024-8190, CVE-2024-8963, CVE-2024-9379 и CVE-2024-9380. Эти уязвимости позволяют злоумышленникам получать удаленный доступ, выполнять произвольные команды, манипулировать базой данных и получать удаленное выполнение кода. По данным СISA, уязвимости были использованы в нулевые дни.

В целом, для предотвращения эксплуатации уязвимостей в Ivanti CSA, рекомендуется обновиться до последней версии программного обеспечения, внимательно мониторить сети на наличие вредоносной активности и применять необходимые меры безопасности.

Indicators of Compromise

IPv4

  • 104.168.133.228
  • 104.28.240.123
  • 107.173.89.16
  • 108.174.199.200
  • 134.195.90.71
  • 136.144.17.133
  • 136.144.17.145
  • 142.11.217.3
  • 142.171.217.195
  • 149.154.167.41
  • 149.154.176.41
  • 154.213.185.230
  • 154.64.226.166
  • 155.138.215.144
  • 156.234.193.18
  • 163.5.171.49
  • 185.199.103.196
  • 185.220.69.83
  • 185.40.4.38
  • 185.40.4.95
  • 188.172.229.15
  • 192.42.116.210
  • 203.160.72.174
  • 203.160.86.69
  • 205.169.39.11
  • 206.189.156.69
  • 208.105.190.170
  • 216.131.75.53
  • 216.73.162.56
  • 23.236.66.97
  • 38.207.159.76
  • 45.141.215.17
  • 64.176.49.160
  • 67.217.228.83
  • 82.197.182.161
  • 89.187.178.179
  • 95.161.76.100
  • 98.101.25.30

Domains

  • book.hacktricks.xyz
  • cdn.private-api.us.kg
  • cri07nnrg958pkh6qhk0977u8c83jog6t.oast.fun
  • cri07nnrg958pkh6qhk0yrgy1e76p1od6.oast.fun
  • gg.oyr2ohrm.eyes.sh
  • ggg.oyr2ohrm.eyes.sh
  • gggg.oyr2ohrm.eyes.sh
  • ip.sb
  • txt.xj.hk

URLs

  • 108.174.199.200/Xa27efd2.tmp
  • 173.243.138.76/fdsupdate
  • 208.184.237.75/fdsupdate
  • 45.33.101.53/log
  • 45.33.101.53/log2
  • 98.98.54.209/a.sh
  • http://ip.sb
  • https://file.io/1zqvMYY1dpkk
  • https://file.io/E50vtqmJP5aa
  • https://file.io/frdZ9L18R7Nx
  • https://file.io/RBKuU8gicWt
  • https://pan.xj.hk/d/
  • https://pan.xj.hk/d/6401646e701f5f47518ecef48a308a36/redis

MD5

  • 061e5946c9595e560d64d5a8c65be49e
  • 1b20e9310ca815f9e2bd366fb94e147f
  • 30f57e14596f1bcad7cc4284d1af4684
  • 4895e11d30aa070fe45243a4e8b0e9dd
  • 53c5b7d124f13039eb62409e1ec2089d
  • 60d5648d35bacf5c7aa713b2a0d267d3
  • 62a611f0f1a418876b11c9df3b56885b
  • 698a752ec1ca43237cb1dc791700afde
  • 78cc672218949a9ec87407ad3bcb5db6
  • 86b62ffd33597fd635e01b95f08bb996
  • a50660fb31df96b3328640fdfbeea755
  • aa69300617faab4eb39b789ebfeb5abe
  • ae51c891d2e895b5ca919d14edd42c26
  • c2becc553b96ba27d60265d07ec3bd6c
  • c7d20ca6fe596009afaeb725fec8635f
  • c894f55c8fa9d92e2dd2c78172cff745
  • cacc30e2a5b2683e19e45dc4f191cebc
  • d13f71e51b38ffef6b9dc8efbed27615
  • d88bfac2b43509abdc70308bef75e2a6
  • dd975310201079cacd4cde6facab8c1d
  • e09fef2f502a41c199046219a6584e8d
  • f7f81ae880a17975f60e1e0fe1a4048b
  • f82847bccb621e6822a3947bc9ce9621

SHA1

  • 0f024f8487a9b908a8e81db7f6b4d85b70bbc212
  • 20fecae6d41cce7a1f74313a3aeb97f7fa26895f
  • 25b79b4984a567b501e71fb3c43530a9b65d1c6e
  • a62af4ac233d914a25e79ec0705e2a187ebd7567
  • cb6be7d4e741864817bd965ea4652364cccc9045

SHA256

  • 3d0def685838f95a056d4fb5267b17ec3cc1c7a75fae0e4526b305cb964a1b88
  • 4b16ea1b1273f8746cf399c71bfc1f5bff7378b5414b4ea044c55e0ee08c89d3
  • 7cc4ed7bfd2a6f56ee1427a951bac36ad4e4e23fb66002d2befd2305e2d01bf3
  • dcd04c0ac081fff41021d08cd882bcf70b696aa7824361ef23849e26f395148b
  • e35cf026057a3729387b7ecfb213ae62a611f0f1a418876b11c9df3b56885bed
Комментарии: 0
Похожие записи
0
19 дней
IOC

Ghost (Cring) Ransomware IOCs

ransomware
Общее совместное сообщение Федерального бюро расследований (ФБР), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатного центра обмена информацией и анализа (MS-ISAC) обнародовало
0
3 месяца
IOC

Lynx Ransomware IOCs - Part 2

ransomware
В недавнем отчете Центра интернет-безопасности (Center for Internet Security, CIS) говорится о растущей угрозе атак вымогательского ПО, направленных на организации коммунального хозяйства, и особое внимание
0
3 месяца
IOC

BianLian Ransomware IOCs - Part 5

ransomware
Операция BianLian ransomware, изначально известная своей моделью двойного вымогательства, включающей шифрование и эксфильтрацию данных, теперь переключилась на вымогательство, направленное в основном на кражу данных.