Nuevo malware en exploits dirigidos a vulnerabilidades de Ivanti
Mandiant, propiedad de Google, ha descubierto un nuevo malware que aprovecha las vulnerabilidades de los dispositivos Ivanti Connect Secure VPN y Policy Secure. Estos programas maliciosos han sido utilizados por varios grupos de amenazas, incluido el grupo de espionaje chino UNC5221, para ejecutar actividades posteriores a la explotación. Las nuevas variantes de malware utilizadas por estos actores de amenazas incluyen las web shells personalizadas denominadas BUSHWALK, CHAINLINE, FRAMESTING y una variante de LIGHTWIRE.
CHAINLINE, por ejemplo, es un intérprete de comandos web basado en Python integrado en los paquetes Ivanti Connect Secure Python, que facilita la ejecución arbitraria de comandos.
BUSHWALK, escrito en Perl, evade las mitigaciones de Ivanti y otorga a los atacantes la capacidad de leer o escribir archivos en los servidores.
FRAMESTING funciona como un shell web de Python integrado en un paquete Ivanti Connect Secure Python, facilitando la ejecución de comandos arbitrarios. Reside dentro de la ruta especificada "/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py".
LIGHTWIRE, escrito en Perl CGI, mantiene un acceso remoto persistente a los dispositivos comprometidos.
El análisis de Mandiant ha revelado la explotación de las vulnerabilidades Ivanti CVE-2023-46805 y CVE-2024-21887, que permiten a los actores de amenazas ejecutar comandos arbitrarios con privilegios elevados. Estos fallos se han explotado activamente como días cero desde diciembre de 2023, lo que ha dado lugar a sistemas comprometidos de los que ha informado la Oficina Federal de Seguridad de la Información (BSI) de Alemania.
Para agravar aún más la situación, Mandiant ha identificado el uso de utilidades de código abierto como Impacket, CrackMapExec, iodine y Enum4linux para apoyar las actividades posteriores a la explotación, incluido el reconocimiento de la red y la filtración de datos.
Ivanti ha revelado otros fallos de seguridad, como CVE-2024-21888 y CVE-2024-21893, y ha publicado parches para solucionarlos. Sin embargo, UNC5221 sigue representando una amenaza significativa, dirigida a varias industrias de interés estratégico para China.
Conclusión
Para mitigar el riesgo que plantean estas vulnerabilidades de Ivanti, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) ha publicado una guía en la que insta a los organismos afectados a desconectar inmediatamente los dispositivos Ivanti de sus redes y aplicar los parches con prontitud. Además, se aconseja a los organismos que restablezcan las contraseñas y revoquen los tokens de acceso para evitar nuevos riesgos.
En resumen, el descubrimiento de estas vulnerabilidades subraya la importancia de las medidas proactivas de ciberseguridad y pone de relieve los retos que plantean los sofisticados actores de amenazas. La vigilancia, la aplicación oportuna de parches y el cumplimiento de las mejores prácticas de ciberseguridad son cruciales para protegerse frente a las ciberamenazas en evolución.
Las fuentes de este artículo incluyen una historia de TheHackerNews.