Компания Volexity обнаружила активную эксплуатацию двух уязвимостей, позволяющих неавторизованно выполнять удаленный код на устройствах Ivanti Connect Secure VPN. Компания Ivanti выпустила официальное уведомление о безопасности и статью в базе знаний, включающую меры по устранению уязвимостей, которые должны быть применены немедленно.
Уязвимости позволяют выполнять удаленный код без проверки подлинности, и им присвоены следующие CVE: CVE-2023-46805 и CVE-2024-21887. Злоумышленник использовал эти эксплойты для кражи конфигурационных данных, изменения существующих файлов, загрузки удаленных файлов и обратного туннелирования с устройства ICS VPN.
Компания Volexity обнаружила, что злоумышленник размещал веб-оболочки на нескольких внутренних и внешних веб-серверах. Злоумышленник модифицировал легитимный CGI-файл (compcheckresult.cgi) на устройстве ICS VPN, чтобы разрешить выполнение команд. Кроме того, злоумышленник модифицировал JavaScript-файл, используемый компонентом Web SSL VPN устройства, с целью перехвата и утечки учетных данных пользователей, входящих в систему. В настоящее время компания Volexity приписывает эту активность неизвестному субъекту угроз, которого она отслеживает под псевдонимом UTA0178.
Indicators of Compromise
IPv4
- 173.220.106.166
- 173.53.43.7
- 206.189.208.156
- 47.207.9.89
- 50.213.208.89
- 50.215.39.49
- 50.243.177.161
- 64.24.179.210
- 71.127.149.194
- 73.128.178.221
- 75.145.224.109
- 75.145.243.85
- 98.160.48.170
Domains
- gpoaccess.com
- symantke.com
- webb-institute.com