Actores de Amenazas Explotan Vulnerabilidades Críticas en Ivanti Connect Secure para realizar labores de Espionaje | CVE-2023-46805 & CVE-2024-21887

Los actores de amenazas han estado explotando las dos vulnerabilidades de día cero en Ivanti Connect Secure reveladas esta semana desde principios de diciembre para implementar múltiples familias de malware personalizado con fines de espionaje.

Identificados como CVE-2023-46805 y CVE-2024-21887, los problemas de seguridad permiten eludir la autenticación e inyectar comandos arbitrarios en sistemas vulnerables. Ivanti dijo que los atacantes apuntaron a un pequeño número de sus clientes.

Un informe de Mandiant, que trabaja con Ivanti investigando el incidente, señala que el actor de amenazas detrás de los ataques está involucrado en espionaje y actualmente se le rastrea internamente como UNC5221.

Hoy, el servicio de monitoreo de amenazas Shadowserver publicó en X que sus escáneres detectan 17.100 dispositivos Invanti CS en la web pública, la mayoría de ellos en los Estados Unidos.

Sin embargo, no hay indicación de cuántos de ellos son vulnerables.

Mandiant descubrió que UNC5221 utiliza un conjunto de herramientas durante la etapa posterior al compromiso que incluye cinco malware personalizados para instalar webshells, ejecutar comandos, eliminar cargas útiles y robar credenciales.

Aquí hay un resumen de las herramientas utilizadas en los ataques:

• Zipline Passive Backdoor: malware personalizado que puede interceptar el tráfico de red, admite operaciones de carga/descarga, crea shells inversos, servidores proxy y tunelización de servidores.
• Thinspool Dropper: dropper de secuencias de comandos de shell personalizado que escribe el shell web Lightwire en Ivanti CS, asegurando la persistencia.
• Wirefire web shell: shell web personalizado basado en Python que admite la ejecución de comandos arbitrarios no autenticados y la eliminación de carga útil.
• Lightwire web shell: shell web Perl personalizado integrado en un archivo legítimo, que permite la ejecución de comandos arbitrarios.
• Warpwire harvester: herramienta personalizada basada en JavaScript para recolectar credenciales al iniciar sesión y enviarlas a un servidor de comando y control (C2).
• PySoxy Tunneler: facilita la tunelización del tráfico de red para lograr sigilo.
• BusyBox: binario de llamadas múltiples que combina muchas utilidades de Unix utilizadas en diversas tareas del sistema.
• Utilidad Thinspool (sessionserver.pl): se utiliza para volver a montar el sistema de archivos como 'lectura/escritura' para permitir la implementación de malware.

"ZIPLINE es la más notable de estas familias, es una puerta trasera pasiva que secuestra una función exportada aceptar() de libsecure.so. ZIPLINE intercepta el tráfico de red entrante y admite transferencia de archivos, shell inverso, túneles y proxy", afirmó un Investigador de seguridad de Mandiant en X (anteriormente Twitter).

Mandiant también descubrió que los actores de amenazas utilizaron dispositivos Cyberoam VPN comprometidos al final de su vida útil como servidores C2, con su ubicación establecida en la misma región que el objetivo, para evadir la detección.

Volexity informó anteriormente haber visto signos de ataques realizados por actores de amenazas patrocinados por el estado chino. Sin embargo, el informe de Mandiant no hace ninguna atribución ni proporciona información sobre el posible origen o afiliación del actor de la amenaza.

La compañía Google dice que no hay datos suficientes para evaluar con confianza el origen de UNC5221 y señaló que su actividad no está vinculada a ningún grupo de amenazas conocido anteriormente.

Incluso sin atribución, el uso de malware personalizado que proporciona acceso continuo indica que "UNC5221 tenía la intención de mantener su presencia en un subconjunto de objetivos de alta prioridad" incluso después de que un parche estuviera disponible.

Mandiant sospecha que UNC5221 es una amenaza persistente avanzada (APT) que apunta a objetivos de alta prioridad.

Se recuerda a los administradores del sistema que actualmente no existe ninguna actualización de seguridad que aborde los dos días cero, pero Ivanti proporciona mitigaciones que deben implementarse de inmediato.