Fortinet cree que un actor de amenazas patrocinado por el estado está detrás de los recientes ataques que involucran la explotación de varias vulnerabilidades de día cero que afectan el producto Cloud Services Application (CSA) de Ivanti. Durante el último mes, Ivanti informó a los clientes sobre varios días cero de CSA que se han encadenado para comprometer los sistemas de un «número limitado» de clientes. El principal defecto es CVE-2024-8190, que permite la ejecución remota de código. Sin embargo, la explotación de esta vulnerabilidad requiere privilegios elevados y los atacantes la han estado encadenando con otros errores CSA como CVE-2024-8963, CVE-2024-9379 y CVE-2024-9380 para cumplir con el requisito de autenticación. Fortinet comenzó a investigar un ataque detectado en el entorno de un cliente cuando solo se conocía públicamente la existencia de CVE-2024-8190. Según el análisis de la firma de ciberseguridad, los atacantes comprometieron los sistemas utilizando CSA de día cero y luego realizaron movimientos laterales, implementaron web shells, recopilaron información, realizaron escaneos y ataques de fuerza bruta, y abusaron del dispositivo Ivanti pirateado para enviar tráfico proxy. También se observó que los piratas informáticos intentaban implementar un rootkit en el dispositivo CSA, probablemente en un esfuerzo por mantener la persistencia incluso si el dispositivo se restablecía a la configuración de fábrica. Otro aspecto digno de mención es que el actor de amenazas parchó las vulnerabilidades de CSA que explotó, probablemente en un esfuerzo por evitar que otros piratas informáticos las explotaran y potencialmente interfirieran en su operación. Fortinet mencionó que es probable que un adversario-estado-nación esté detrás del ataque, pero no ha identificado al grupo amenazador. Sin embargo, un investigador señaló que una de las IP publicadas por la empresa de ciberseguridad como indicador de compromiso (IoC) se atribuyó anteriormente a UNC4841, un grupo de amenazas vinculado a China que a finales de 2023 fue observado explotando un producto Barracuda de día cero. Anuncio publicitario. Desplázate para seguir leyendo. De hecho, los piratas informáticos de los estados-nación chinos son conocidos por explotar los días cero de los productos Ivanti en sus operaciones. También vale la pena señalar que el nuevo informe de Fortinet menciona que parte de la actividad observada es similar a los ataques anteriores de Ivanti vinculados a China. Relacionado: Los piratas informáticos Volt Typhoon de China fueron sorprendidos explotando el día cero en servidores utilizados por ISP y MSP Relacionado: Cisco parchea el día cero de NX-OS explotado por ciberespías chinos Relacionado: Organizaciones advertidas sobre la vulnerabilidad explotada de Fortinet FortiOS URL de la publicación original: https://www .securityweek.com/ivanti-csa-zero-day-exploitation-attributed-to-state-sponsored-hackers/