Ivanti Secure VPN: Novas vulnerabilidades de dia zero descobertas

Atualização sobre as vulnerabilidades do Ivanti Secure VPN

Este ano, foram descobertas cinco novas vulnerabilidades de dia zero no Ivanti Secure VPN, uma solução VPN popular usada por organizações em todo o mundo. No dia 10 de janeiro de 2024, foram relatadas duas vulnerabilidades de dia zero do Ivanti Secure VPN, que serão detalhadas a seguir.

Desde então, foram identificadas mais três novas vulnerabilidades de dia zero da Ivanti, além de duas vulnerabilidades de 2021 que ressurgiram. Enquanto as vulnerabilidades mais recentes permitem que invasores sem autenticação executem código remoto e comprometam sistemas, as vulnerabilidades de 2021 permitem que o invasor eleve seus privilégios na rede comprometida.

A Ivanti lançou novas correções para algumas dessas vulnerabilidades em 8 de fevereiro de 2024, detalhadas no final deste artigo.

Vulnerabilidades do Ivanti Secure VPN relatadas em 10 de janeiro de 2024

Em 10 de janeiro de 2024, a Ivanti publicou um comunicado oficial de segurança e um artigo na base de conhecimento sobre duas vulnerabilidades de dia zero, o CVE-2023-46805 e o CVE-2024-21887, que afetam todas as versões suportadas do Ivanti Connect Secure e Ivanti Policy Secure Gateways.

• O CVE-2023-46805 é uma vulnerabilidade de desvio de autenticação que permite que um invasor acesse recursos restritos, ignorando as verificações de controle.
• O CVE-2024-21887 é uma injeção de comando que permite que um administrador autenticado envie solicitações especialmente criadas e execute comandos arbitrários no dispositivo, podendo ser explorado pela Internet.

A combinação dessas duas vulnerabilidades de dia zero permite que um invasor execute comandos nos dispositivos afetados.

De acordo com Patrice Auffret da ONYPHE, mecanismo de pesquisa de defesa cibernética, existem 29.664 dispositivos Ivanti Secure VPN conectados à internet, com mais de 40% localizados nos EUA, seguidos pelo Japão (14,3%) e Alemanha (8,48%).

Exploração das vulnerabilidades de dia zero

A empresa de segurança cibernética Volexity descobriu essas vulnerabilidades durante uma investigação de resposta a incidentes. A resposta revelou que um agente de ameaça modificou vários arquivos no dispositivo Ivanti Connect Secure VPN.

A Volexity acredita que vários arquivos foram criados e usados na pasta temporária do sistema (/tmp), incluindo um utilitário proxy baseado em Python chamado PySoxy.

O agente da ameaça, identificado como UTA0178, implantou webshells e modificou arquivos para permitir o roubo de credenciais antes de se mover para outros sistemas usando as credenciais comprometidas. O invasor continuou coletando credenciais em todos os sistemas afetados e foi observado despejando uma imagem completa do banco de dados do Active Directory. Além disso, o invasor modificou o JavaScript da página de login da web do dispositivo VPN para capturar as credenciais fornecidas. O script lastauthserverused.js foi modificado para enviar as credenciais roubadas para um domínio controlado pelo invasor.

O agente da ameaça também implantou um webshell personalizado chamado GLASSTOKEN para explorar a rede, examinando arquivos de usuário e de configuração.

Vulnerabilidades do Ivanti Secure VPN relatadas após 10 de janeiro de 2024

Em 22 de janeiro de 2024, a Ivanti relatou duas novas vulnerabilidades, o CVE-2024-21888 e o CVE-2024-21893, que permitem a um invasor ignorar a autenticação e elevar seus privilégios em dispositivos vulneráveis. Em 8 de fevereiro de 2024, foi relatada mais uma vulnerabilidade, o CVE-2024-22024, que permite acesso a recursos restritos sem autenticação.

O Grupo NCC, empresa de segurança cibernética, relatou o uso de duas vulnerabilidades mais antigas do Ivanti Secure VPN, o CVE-2021-42278 e o CVE-2021-42287, como meio de escalonamento de privilégios após o comprometimento bem-sucedido de uma instância VPN. Essas vulnerabilidades permitem que um usuário comum se passe por um administrador de domínio.

Como detectar ameaças à segurança da Ivanti VPN

É possível detectar atividades suspeitas por meio da análise cuidadosa do tráfego de rede e dos logs dos dispositivos VPN. Qualquer indicação de exclusão ou desativação dos logs é um forte indicador de comprometimento. Além disso, a ferramenta de verificação de integridade integrada pode ajudar a identificar arquivos novos ou incompatíveis.

Patches para algumas vulnerabilidades da Ivanti VPN

Em 8 de fevereiro de 2024, a Ivanti lançou novas correções que substituem as anteriores. Recomenda-se que os usuários atualizem para a versão mais recente do Ivanti Connect Secure ou Ivanti Policy Secure para garantir que as correções de segurança e estabilidade sejam aplicadas. A migração para o Ivanti Neurons for ZTA também é recomendada.