Un hábil encadenamiento de tres fallas de día cero separadas en el Cloud Service Appliance de Ivanti permitió que un ciberatacante particularmente potente se infiltrara en una red objetivo y ejecutara acciones maliciosas, lo que llevó a los investigadores a concluir que un actor de un estado-nación estaba apuntando activamente a estos sistemas vulnerables. FortiGuard Labs de Fortinet publicó sus hallazgos, advirtiendo que cualquier organización que ejecute CSA versión 4.6 y anteriores de Ivanti sin tomar las precauciones necesarias para remediarlo es vulnerable a este método de ataque. Los detalles de la cadena de ataques recientemente descubierta se producen en medio del anuncio de una serie de fallas de seguridad adicionales en el CSA de Ivanti que también se encuentran bajo explotación activa. «Se observó a los adversarios avanzados explotando y encadenando vulnerabilidades de día cero para establecer un acceso de cabeza de playa en la red de la víctima», dice el informe de Fortinet. «Este incidente es un excelente ejemplo de cómo los actores de amenazas encadenan vulnerabilidades de día cero para obtener acceso inicial a la red de una víctima». Las tres fallas específicas de Ivanti CSA utilizadas en el ataque fueron una falla de inyección de comando en el recurso DateTimeTab.php rastreada como CVE-2024-8190, una vulnerabilidad de recorrido de ruta crítica en el recurso /client/index.php rastreada como CVE-2024-8963 y una vulnerabilidad de inyección de comandos no autenticada rastreada como CVE-2024-9380 que afecta a informes.php. Una vez que se estableció el acceso inicial utilizando el error de recorrido de ruta, el grupo de amenazas pudo explotar la falla de inyección de comandos en el recurso reports.php para colocar un shell web. El grupo aprovechó una falla de inyección SQL separada en el servidor de base de datos SQL (SQLS) backend de Ivanti rastreado como CVE-2024-29824 para obtener ejecución remota en el sistema SQLS, señalaron los investigadores. Después de que Ivanti lanzó un parche para la falla de inyección de comandos, el grupo de ataque actuó para garantizar que otros adversarios no los siguieran hasta los sistemas comprometidos. “El 10 de septiembre de 2024, cuando Ivanti publicó el aviso para CVE-2024-8190, el actor de amenazas, aún activo en la red del cliente, ‘parchó’ las vulnerabilidades de inyección de comandos en los recursos /gsb/DateTimeTab.php, y /gsb/reports.php, haciéndolos inexplotables”, añadió el equipo de FortiGuard Labs en el informe. “En el pasado, se ha observado que los actores de amenazas parchean vulnerabilidades después de haberlas explotado y de haber logrado afianzarse en la red de la víctima, para impedir que cualquier otro intruso obtenga acceso a los activos vulnerables y potencialmente interfiera con sus operaciones de ataque. » En este caso, los analistas sospecharon que el grupo estaba tratando de utilizar técnicas sofisticadas para mantener el acceso, incluido el lanzamiento de un ataque de túnel DNS a través de PowerShell y la instalación de un rootkit de objetos del kernel de Linux en el sistema CSA comprometido. «El motivo probable detrás de esto fue que el actor de la amenaza mantuviera la persistencia a nivel de kernel en el dispositivo CSA, que puede sobrevivir incluso a un restablecimiento de fábrica», dijeron los investigadores de Fortinet. URL de la publicación original: https://www.darkreading.com/cyberattacks-data-breaches/serious-adversaries-circle-ivanti-csa-flaws