VietNetwork.Vn

Một kẻ thù quốc gia bị tình nghi đã lợi dụng ba lỗ hổng bảo mật trong Ivanti Cloud Service Appliance (CSA) để thực hiện một loạt hành động độc hại.

Theo phát hiện của Fortinet FortiGuard Labs, lỗ hổng này đã bị lợi dụng để truy cập trái phép vào CSA, liệt kê người dùng được cấu hình trong thiết bị và cố gắng truy cập thông tin đăng nhập của những người dùng đó.


Các nhà nghiên cứu bảo mật Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans và Robert Reyes cho biết : "Những kẻ tấn công tinh vi đã khai thác và liên kết các lỗ hổng zero-day để thiết lập quyền truy cập vào đầu cầu trong mạng của nạn nhân".

Những sai sót đang được đề cập được liệt kê dưới đây -

• CVE-2024-8190 (Điểm CVSS: 7.2) - Một lỗi tiêm lệnh trong tài nguyên /gsb/DateTimeTab.php
• CVE-2024-8963 (Điểm CVSS: 9.4) - Lỗ hổng duyệt đường dẫn trên tài nguyên /client/index.php
• CVE-2024-9380 (Điểm CVSS: 7.2) - Lỗ hổng tiêm lệnh đã xác thực ảnh hưởng đến báo cáo tài nguyên.php

Ở giai đoạn tiếp theo, thông tin đăng nhập bị đánh cắp liên quan đến gsbadmin và admin đã được sử dụng để thực hiện khai thác xác thực lỗ hổng tiêm lệnh ảnh hưởng đến tài nguyên /gsb/reports.php nhằm xóa một web shell ("help.php").

"Vào ngày 10 tháng 9 năm 2024, khi khuyến cáo về CVE-2024-8190 được Ivanti công bố, tác nhân đe dọa vẫn hoạt động trong mạng của khách hàng đã 'vá' các lỗ hổng tiêm lệnh trong tài nguyên /gsb/DateTimeTab.php và /gsb/reports.php, khiến chúng không thể khai thác được."

"Trước đây, kẻ tấn công đã vá các lỗ hổng sau khi khai thác chúng và xâm nhập vào mạng của nạn nhân để ngăn chặn bất kỳ kẻ xâm nhập nào khác truy cập vào tài sản dễ bị tấn công và có khả năng can thiệp vào hoạt động tấn công của chúng."


Những kẻ tấn công không rõ danh tính cũng đã được xác định là đang lợi dụng CVE-2024-29824, một lỗ hổng nghiêm trọng ảnh hưởng đến Ivanti Endpoint Manager (EPM), sau khi xâm nhập vào thiết bị CSA kết nối internet. Cụ thể, điều này liên quan đến việc kích hoạt quy trình lưu trữ xp_cmdshell để thực hiện mã từ xa.

Điều đáng chú ý là Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng bảo mật này vào danh mục Lỗ hổng đã khai thác được biết đến (KEV) vào tuần đầu tiên của tháng 10 năm 2024.

Một số hoạt động khác bao gồm tạo một người dùng mới có tên là mssqlsvc, chạy các lệnh trinh sát và trích xuất kết quả của các lệnh đó thông qua một kỹ thuật được gọi là DNS tunneling sử dụng mã PowerShell. Cũng cần lưu ý là việc triển khai rootkit dưới dạng đối tượng hạt nhân Linux (sysinitd.ko) trên thiết bị CSA bị xâm phạm.

Các nhà nghiên cứu của Fortinet cho biết: "Động cơ tiềm ẩn đằng sau hành động này có thể là để kẻ tấn công duy trì tính liên tục ở cấp độ hạt nhân trên thiết bị CSA, vốn có thể tồn tại ngay cả khi khôi phục cài đặt gốc".