ClickCease Nouveau logiciel malveillant dans les exploits ciblant les vulnérabilités d'Ivanti

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Nouveau logiciel malveillant dans les exploits ciblant les vulnérabilités d'Ivanti

Rohan Timalsina

Le 14 février 2024 - L'équipe d'experts de TuxCare

Mandiant, une société appartenant à Google, a découvert un nouveau logiciel malveillant qui exploite les vulnérabilités des dispositifs Ivanti Connect Secure VPN et Policy Secure. Ces malwares ont été utilisés par plusieurs groupes de menace, dont le groupe d'espionnage chinois UNC5221, pour exécuter des activités de post-exploitation. Les nouvelles variantes de malwares utilisées par ces acteurs de la menace comprennent les shells web personnalisés nommés BUSHWALK, CHAINLINE, FRAMESTING, et une variante de LIGHTWIRE.

CHAINLINE, par exemple, est un shell web basé sur Python intégré dans les paquets Python d'Ivanti Connect Secure, facilitant l'exécution de commandes arbitraires.

BUSHWALK, écrit en Perl, échappe aux mesures d'atténuation d'Ivanti et donne aux attaquants la possibilité de lire ou d'écrire des fichiers sur les serveurs.

FRAMESTING fonctionne comme un shell web Python intégré dans un paquetage Ivanti Connect Secure Python, facilitant l'exécution de commandes arbitraires. Il réside dans le chemin spécifié : "/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py".

LIGHTWIRE, écrit en Perl CGI, maintient un accès à distance permanent aux appareils compromis.

L'analyse de Mandiant a révélé l'exploitation des vulnérabilités d'Ivanti : CVE-2023-46805 et CVE-2024-21887, permettant aux acteurs de la menace d'exécuter des commandes arbitraires avec des privilèges élevés. Ces failles sont activement exploitées depuis décembre 2023, ce qui a conduit à la compromission de systèmes signalés par l'Office fédéral allemand de la sécurité de l'information (BSI).

Pour aggraver encore la situation, Mandiant a identifié l'utilisation d'utilitaires open-source tels que Impacket, CrackMapExec, iodine et Enum4linux pour soutenir les activités post-exploitation, y compris la reconnaissance du réseau et l'exfiltration de données.

Ivanti a révélé d'autres failles de sécurité, notamment CVE-2024-21888 et CVE-2024-21893, et a publié des correctifs pour remédier à ces vulnérabilités. Cependant, UNC5221 continue de représenter une menace importante, ciblant diverses industries d'intérêt stratégique pour la Chine.

 

Conclusion

 

Pour atténuer le risque posé par ces vulnérabilités d'Ivanti, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié des orientations invitant les agences concernées à déconnecter immédiatement les appareils Ivanti de leurs réseaux et à appliquer les correctifs dans les meilleurs délais. En outre, il est conseillé aux agences de réinitialiser les mots de passe et de révoquer les jetons d'accès afin d'éviter toute compromission ultérieure.

En résumé, la découverte de ces vulnérabilités souligne l'importance de mesures de cybersécurité proactives et met en évidence les défis permanents posés par des acteurs de menace sophistiqués. La vigilance, l'application de correctifs en temps voulu et le respect des meilleures pratiques en matière de cybersécurité sont essentiels pour se prémunir contre l'évolution des cybermenaces.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Nouveau logiciel malveillant dans les exploits ciblant les vulnérabilités d'Ivanti
Nom de l'article
Nouveau logiciel malveillant dans les exploits ciblant les vulnérabilités d'Ivanti
Description
Découvrez les vulnérabilités d'Ivanti exploitées par les acteurs de la menace, ainsi que les nouveaux logiciels malveillants et les tactiques employées lors des activités de post-exploitation.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information