CERT-alert: Zero-day in Ivanti-software (Update 09. feb)

Voor het eerst in meer dan twaalf maanden heeft ons CERT een 'Critical' level World Watch Threat Advisory uitgebracht, met betrekking tot een kwetsbaarheid in een reeks Ivanti-producten die actief op grote schaal wordt misbruikt.

Ivanti is een partner van ons en we verkopen en ondersteunen verschillende van hun producten. We werken nauw samen met Ivanti om de gevolgen van deze kwetsbaarheden voor onze klanten te beperken en zijn ervan overtuigd dat het risico snel is verholpen, zonder gevolgen voor onze klanten. Dit blogbericht wordt gepubliceerd in een poging om onze klanten en de markt volledig te informeren over de details van het probleem, zodat we de dreiging zo goed mogelijk kunnen tegengaan.

• Twee nieuwe kwetsbaarheden, CVE-2024-21888 en CVE-2024-21893, werden ontdekt in aanvulling op de eerder bevestigde kwetsbaarheden.
• Ivanti heeft op 31 januari 2024 patches uitgebracht voor een beperkt aantal productversies die alle bekende kwetsbaarheden verhelpen.
• Nieuwe XML mitigaties werden uitgebracht om alle bekende kwetsbaarheden te verhelpen.
• Ivanti heeft een nieuwe externe Integrity Checking Tool (ICT) uitgebracht die kan worden gebruikt om gecompromitteerde Ivanti apparaten te detecteren.
• Er wordt nog steeds actief misbruik gemaakt van de kwetsbaarheden.
• Orange Cyberdefense heeft al contact opgenomen met klanten met door Orange Cyberdefense beheerde of medebeheerde Ivanti-producten om in overleg maatregelen te treffen om apparaten te patchen of te mitigeren.
• Sinds 31 januari 2024 laten de scans van Orange Cyberdefense zien dat van de 24.986 blootgestelde Ivanti-apparaten, 3.254 apparaten kwetsbaar zijn, 684 apparaten zijn gecompromitteerd, op 20.674 apparaten XML-mitigaties zijn toegepast, 451 apparaten XML-mitigaties hebben maar mogelijk gecompromitteerd zijn voordat de mitigaties zijn toegepast en 680 apparaten gevoelige gegevens lekken via het logo/login.gif.
• CISA verzoekt overheidsinstellingen om alle getroffen Ivanti-apparaten los te koppelen en schoon te maken voordat ze de apparaten weer in gebruik nemen.
• De Ivanti Server-Side Request Forgery kwetsbaarheid, CVE-2024-21893, wordt gebruikt om een voorheen onbekende en interessante achterdeur te injecteren.
• De toegang tot deze achterdeur wordt geregeld via het basismechanisme 'API key'.
• De aanvaller voert de injectie van commando's uit met hoge privileges.
• Orange Cyberdefense blijft toezicht houden op, onderzoek doen naar en rapporteren over activiteiten die verband houden met misbruik van de recent bekendgemaakte Ivanti-kwetsbaarheden.
• Een nieuwe fix is beschikbaar voor een recent geopenbaarde kwetsbaarheid, CVE-2024-22024 voor specifieke versies van Ivanti Connect Secure, Ivanti Policy Secure en ZTA gateways.
• Bestaande XML-mitigaties beschermen tegen misbruik van CVE-2024-22024.
• De kwetsbaarheid is niet gekoppeld aan een bekende dreigingsactor of huidige exploitatieactiviteit.

We delen het onderzoek van ons CERT in een speciale blog over de achterdeur in DSLog. De details vindt je hier.

Voor meer informatie over de ontdekte backdoor in DSLog kunt je hieronder ook het onderzoeksrapport als PDF downloaden!

Op 31 januari 2024 heeft Ivanti fixes uitgebracht om vier kwetsbaarheden te verhelpen, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 en CVE-2024-21893. De laatste twee kwetsbaarheden werden onthuld op de dag van de patchuitgave, samen met een tweede set mitigaties die kunnen worden toegepast als alternatief voor de fixes.

Details over CVE-2024-21893, een Server-Side Request Forgery (SSRF) kwetsbaarheid die van invloed is op de ingebouwde SAML-module, werden snel openbaar gedeeld door beveiligingsonderzoekers van Rapid7 en AssetNote, met een functionele werkende PoC die iedereen kon gebruiken. Binnen enkele uren na het vrijgeven van de PoC identificeerde het Orange Cyberdefense CERT aanvallen die gericht waren op deze SAML-kwetsbaarheid.

Orange Cyberdefense ontdekte dat aanvallers een achterdeur in een component van de Ivanti appliance injecteerden door gebruik te maken van deze SAML kwetsbaarheid, waardoor de aanvaller persisterende toegang op afstand kreeg. De aanvallers hebben ook maatregelen genomen om de toegang tot de achterdeur te controleren.

Je kunt de details van de kwetsbaarheid vinden in twee adviezen die Orange Cyberdefense heeft gepubliceerd (klantaccount vereist om toegang te krijgen tot de inhoud):

Vulnerability Intelligence Watch: https://portal.cert.orangecyberdefense.com/vulns/60095

World Watch: https://portal.cert.orangecyberdefense.com/worldwatch/839001

Pas de nieuwste patch toe, want deze verhelpt de nieuwste kwetsbaarheid, CVE-2024-22024, en de vier eerder onthulde kwetsbaarheden.

Volgens Ivanti beschermt de bestaande XML-mitigatie (mitigation.release.20240126.5.xml) al tegen de exploitatie van CVE-2024-22024 [bron].

Volgens Ivanti is een fabrieksreset niet nodig om CVE-2024-22024 te verhelpen als deze al eerder is uitgevoerd. Bovendien blijven 2 opeenvolgende fabrieksresets zoals we vermeldden niet nodig. Integendeel, we raden sterk aan om de upgrades van 31 januari toe te passen.

Aanvullend onderzoek kan worden uitgevoerd met behulp van de netwerk/host-gebaseerde IOC's (beschikbaar voor onze MTD-klanten via Orange Cyberdefense's Datalake), detectieregels of analyse van verdacht gedrag direct in logs of op het apparaat. Let er ook op hoe apparaten zijn geconfigureerd, omdat ze actief-passief kunnen zijn en/of een cluster van apparaten kunnen omvatten en bepaalde stappen kunnen vereisen om grondig onderzoek te garanderen. We kunnen je helpen om te beoordelen of je instantie inderdaad gecompromitteerd is. Zo ja, neem dan contact op met onze Incident Response hotline.

CISA verzocht overheidsinstanties dringend om al hun apparaten los te koppelen en te resetten [bron]. Ivanti en Mandiant raden nu 2 opeenvolgende upgrades aan [bron], om een mogelijke toekomstige rollback te voorkomen die het apparaat terug zou zetten in zijn vorige "gecompromitteerde" staat. Dit zorgt ervoor dat instanties inderdaad schoon zijn. Deze verregaande oplossing kan ontmoedigend zijn, maar als dat niet het geval is moeten patches prioriteit krijgen, of in ieder geval eerder de mitigerende maatregelen toepassen in plaats van later een fabrieksreset uit te voeren. Een fabrieksreset met volledige patching wordt aanbevolen als een apparaat is gecompromitteerd of als een interessant doelwit in het vizier zou kunnen zijn van de Chinese bedreigingsacteur achter deze 0-days.

Het wordt sterk aanbevolen om het proces van Ivanti te volgen en de nieuwe XML-mitigatie toe te passen of idealiter de patches toe te passen die op 31 januari 2024 zijn uitgebracht [bron]. De patches zijn momenteel beperkt tot een handvol versies, dus als een versie een patch mist, pas dan de XML-mitigatie toe en controleer regelmatig of een specifieke versie in de tussentijd een patch heeft ontvangen.

Scans met de Ivanti Integrity Checker Tool (ICT) zijn niet gegarandeerd volledig accuraat en kunnen mogelijke compromissen missen, maar blijven in veel gevallen de meest praktische bron van detectie als:

• je apparaat in een vroeg stadium werd gemitigeerd (vanaf ongeveer 11 januari)
• geen historische ICT of externe ICT scans tekenen van compromittering vertoonden,
• en er geen ander verdacht gedrag, d.w.z. in IOC's, logs of waarschuwingen van beveiligingsoplossingen, is gevonden in de rest van de infrastructuur.

Als dit het geval is, is het apparaat waarschijnlijk niet gecompromitteerd. Desalniettemin is het aan te raden om te blijven zoeken naar tekenen van inbreuk, door het apparaat regelmatig te scannen met de interne / externe ICT en de laatste beschikbare IOC's te gebruiken.

Een snapshot van het systeem en het ophalen van relevante geheugen- en loggegevens wordt aanbevolen voordat de externe scan van de ICT wordt uitgevoerd, omdat de appliance dan opnieuw wordt opgestart[bron]. Overweeg om debug logging in te schakelen omdat dit de detectie kan verbeteren. Het loggen op debug-niveau (inclusief niet-geauthenticeerde verzoeken) is standaard niet ingeschakeld vanwege mogelijke prestatieproblemen.

Een incident response plan moet worden geactiveerd als een gecompromitteerd apparaat wordt geïdentificeerd. Dit plan kan het volgende omvatten

• isoleren van het apparaat van andere systemen
• het auditen van recent aangemaakte of gewijzigde geprivilegieerde accounts
• intrekken van referenties inclusief certificaten of wachtwoorden die mogelijk zijn blootgesteld
• het monitoren van verdachte authenticatiepogingen
• het onderzoeken en vinden van anomalieën in services of apparaten die eerder met de Ivanti appliance verbonden waren.

Aanvullend onderzoek kan worden uitgevoerd met behulp van de netwerk/host-gebaseerde IOC's hieronder (of de volledige lijst die alleen beschikbaar is voor onze MTD/MTI klanten via de Orange Cyberdefense Datalake), detectieregels, of analyse van verdacht gedrag direct in logs of op het apparaat.

Let er ook op hoe Ivanti appliances zijn geconfigureerd, aangezien deze actief-passief kunnen zijn en/of een cluster van apparaten kunnen omvatten en bepaalde stappen kunnen vereisen om grondig onderzoek te garanderen. We kunnen je helpen te beoordelen of je instance inderdaad gecompromitteerd is. Zo ja, neem dan contact op met onze Incident Response hotline.

Wat doen we?

Alle klanten van Orange Cyberdefense Managed Service zijn beschermd omdat onze toegewijde teams de aanbevelingen van de leverancier hebben toegepast. Orange Cyberdefense Managed Threat Defense-teams voeren proactief onderzoeken uit voor klanten met deze service. Klanten met deze service worden op de hoogte gesteld als er verdacht gedrag wordt vastgesteld.

Je vindt de details van de kwetsbaarheden in twee adviezen die Orange Cyberdefense heeft gepubliceerd (klantaccount vereist om toegang te krijgen tot de inhoud):

• Vulnerability Intelligence Watch: https://portal.cert.orangecyberdefense.com/vulns/60095
• World Watch: https://portal.cert.orangecyberdefense.com/worldwatch/839001

Kwetsbaarheden 

Wat we dachten dat het begin was van massale uitbuiting op donderdagavond, waren 'false positives' gegenereerd door de interne ICT-controles die standaard elke twee uur worden uitgevoerd. Deze controles vonden nieuwe bestanden van het bestand dat op het apparaat was geladen tijdens het upgraden. Niettemin begon exploitatie door opportunistische aanvallers laat op 2 februari, vlak nadat Rapid7[bron] en AssetNote[bron] publiekelijk onthulden hoe de SAML 0-day kwetsbaarheid, CVE-2024-21893, werkte door een werkende PoC vrij te geven die iedereen kon gebruiken. Het Orange Cyberdefense CERT identificeerde aanvallen slechts een paar uur nadat deze waren gepubliceerd. Een van de voorbeelden was een activiteit met Mirai-gebaseerde botnetvarianten die door opportunistische bedreigingsactoren op gecompromitteerde instanties werden gedropt.

De SAML 0-day is vermoedelijk gekoppeld aan een open-source bibliotheek van derden, de "xmltooling" afhankelijkheid, onderhouden door Shibboleth[bron]. Deze component was inderdaad kwetsbaar voor een SSRF-fout die in juni 2023 is hersteld en wordt getraceerd als CVE-2023-36661 (link voor onze Vulnerability Intelligence Watch-clients ).

De kwetsbare endpoints, die een XML doorgeven aan "saml-server" die speciaal kan worden bewerkt, kunnen de volgende endpoints zijn:

• /dana-ws/saml.ws, 

• /dana-ws/saml20.ws, 

• /dana-ws/samlecp.ws, 

• /dana-na/auth/saml-sso.cgi 

• /dana-na/auth/saml-logout.cgi 

• /dana-na/auth/saml-consumer.cgi 

• Etc. 

Wanneer het wordt verwerkt door xmltooling met de functie "XMLToolingFIPS.XMLObject.Signature", geeft het vervalste verzoek de niet-geauthenticeerde aanvaller op afstand toegang tot de machine. De exploit kan worden gekoppeld aan de eerste 0-day voor opdrachtinjectie (CVE-2024-21887) rechtstreeks vanuit het apparaat (d.w.z. 127.0.0.1/api/v1/license/keys-status) om de initiële XML-mitigatie te omzeilen.

Besmette assets

Sinds het begin van deze crisis heeft Orange Cyberdefense CERT geprobeerd om kwetsbare of gecompromitteerde instanties te identificeren aan de hand van verschillende afwijkingen in reacties bij het opvragen van bepaalde bestanden of endpoints (bijv. de 403 "lege" reactie[bron], de GIFTDEVISITOR webshell, het nepbestand logo/login.gif, enz.) Na analyse van een gecompromitteerde vs. een schone instance, ontdekte CERT dat de logs van de legitieme moduleverwerking (DSlog.pm) waren gebackdoored en dat niet-gevoelige gegevens over de appliance waren gedumpt in een nieuw aangemaakt .txt-bestand. CERT identificeerde apparaten die dit gedrag vertoonden en vond verschillende instanties die mogelijk besmet waren met deze achterdeur.

Nogmaals, de oorspronkelijke "403 - Forbidden: empty response" scantechniek die hierboven is beschreven en die werd gebruikt om te beoordelen of de initiële XML mitigatie is toegepast of niet, dient niet meer te worden gebruikt nu de patches beschikbaar zijn. Instanties die al geüpgraded zijn, hebben de XML mitigatie niet meer en zijn niet kwetsbaar.

Een onderzoeker op X (Twitter) legde een andere techniek uit[bron] om op afstand te controleren of een instantie is gebackdoored met behulp van de SAML 0-day met het antwoord van een andere query. Het Orange Cyberdefense CERT kon niet bevestigen dat deze techniek zoals beschreven werkte.

CISA

Door het grote aantal misbruikpogingen gericht op de nieuwste SAML-kwetsbaarheid moeten getroffen organisaties snel reageren. De Amerikaanse overheidsinstantie voor cyberveiligheid CISA verzoekt alle overheidsinstanties om appliances voor vrijdag 2 februari 2024 los te koppelen om de potentiële blootstelling te beperken[Bron]. Als onderdeel van dit verzoek kunnen appliances pas online worden gebracht nadat de patch is toegepast.

Ivanti

De nieuwe XML-mitigatie van Ivanti kan op alle productversies worden toegepast en de patches lossen alleen de beveiligingsproblemen op en bevatten geen nieuwe functies. Een andere patch voor een nieuwe branch (genummerd 22.5R2.2) werd uitgebracht op 1 februari 2024. De laatste bijgewerkte externe ICT bevat geen IOC's of nieuwe detectietechnieken, maar stelt gebruikers in staat om een instantie te controleren die zelfs op de nieuwste (d.w.z. gepatchte) versies draait.

Mandiant

De dochteronderneming van Google heeft een technische vervolg blogpost gepubliceerd over de malwarestammen die worden gebruikt door de belangrijkste, oorspronkelijke dreigingsactor. De incident response provider bevestigde dat ze zeer gerichte post-exploitatie activiteit zagen. Mandiant noemde geen namen van slachtoffers, noch hun landen of sectoren. De dreigingsactor slaagde er in sommige gevallen in om apparaten te compromitteren en vervolgens terug te brengen naar een schone staat, om detectie te omzeilen, ook van de externe ICT-scan. Aanvallers knoeiden met de interne ICT-bestanden om te voorkomen dat deze werden uitgevoerd. Mandiant deelde een aantal Event ID's om dergelijke wijzigingen in logs te detecteren. Daarnaast deelde Mandiant ook andere ID's die zijn gekoppeld aan het wissen van systeemlogs door deze APT-groep.

Nieuwe malwarestammen die worden toegeschreven aan de dreigingsacteur (UNC5221) zijn ook gedetailleerd beschreven:

• een nieuwe Perl webshell genaamd BUSHWALK, ingebed in een legitiem bestand (querymanifest.cgi) dat lees- en schrijfacties mogelijk maakt
• een LIGHTWIRE-variant gevonden in een ander legitiem bestand: "compcheckresult.cgi". Mandiant raadt aan om te zoeken naar dit GET-verzoek '"/dana-na/auth/url_default/compcheckresult.cgi?comp=comp&compid=%3Cobfuscated%C2%A0command%3E") in weblogs, niet-toegewezen ruimte en geheugenafbeeldingen.
• een andere variant van WIREFIRE, CHAINLINE genaamd, gevonden in een nieuw gemaakt health.py bestand[details], wordt opgevraagd via het eindpunt: "/api/v1/cav/client/health".
• FRAMESTING webshell (in bestand category.py[details]) wordt benaderd door de aanvaller via verzoeken naar "/api/v1/cav/client/categories".
• Meerdere varianten van de WARPWIRE credential stealer werden ook gevonden door de incident responders.

De code van ZIPLINE's stam werd verder gedetailleerd door Mandiant, die linkte gebruik te maken van open-source tool zoals Impacket, Iodine, CrackMapExec of Enum4Linux. Zoals vermeld in eerdere updates, werd een .tar archief vermomd als een willekeurig gegenereerd 10-karakter CSS bestand in de directory "/home/webserver/htdocs/dana-na/css/" gebruikt om gestolen informatie op te slaan (dump van configuratie en cache). Zoals we al wisten, werden gestolen gegevens in sommige gevallen toegevoegd aan legitieme "logo.gif" of "login.gif" bestanden, voor hetzelfde doel.

• Er zijn twee nieuwe 0-days gepubliceerd door Ivant voor CVE-2024-21888 en CVE-2024-21893. CVE-2024-21888 stelt een aanvaller in staat om interne (lokale) privilege-escalatie uit te voeren en verandert het dreigingsniveau niet. CVE-2024-21893 heeft meer impact en is een server-side request forgery in de SAML-component om de authenticatie te omzeilen. Het lek wordt actief misbruikt door een Chinese dreigingsactor in gerichte aanvallen tegen een beperkt aantal gebruikers.
• De bestaande kwetsbaarheden worden nog steeds misbruikt, ook al is het aantal blootgestelde kwetsbare apparaten in de tussentijd sterk afgenomen en zijn er nog maar enkele honderden tot duizenden online. Op 25 januari hebben we echter bevestigd dat ten minste 500 apparaten online gevoelige gegevens blootstelden via het "nep" logo.gif-bestand dat door de dreigingsactor was aangemaakt.

Volexity sprak op 18 januari voor het eerst over een op Rust gebaseerde malware voor Linux die werd gebruikt door de dreigingsactor, zonder toen meer details te geven. Een onderzoeker publiceerde er een paar dagen later hier een paar IOC's over, en daarna meer informatie over deze nieuwe variant die hij "KrustyLoader" 2 noemt (omdat hij gecodeerd is in Rust). De onderzoeker deelde een decoderingsscript voor het achterhalen van de URL's die door de loader worden gebruikt om een Sliver-backdoor te droppen, een bekend geavanceerd hulpmiddel voor post-exploitatie dat onze "Managed Threat Intell-detect" service al lange tijd proactief volgt.

• Tijdens onze diverse CSIRT-onderzoeken hebben we vastgesteld dat apparaten die zijn gecompromitteerd met het Metasploit-framework vaak specifieke artefacten bevatten in de map "/imgs/Ivanti.zip/". Bovendien geloven we dat controles met de (zelfs externe) ICT-oplossing in sommige gevallen een gecompromitteerd apparaat niet identificeren. Ivanti heeft dit al eerder gemeld en de Amerikaanse overheidsinstantie CISA3 verklaarde op 30 januari dat aanvallers erin slaagden de externe ICT-resultaten te ondermijnen om detectie te omzeilen.
• De aanvankelijk kwetsbare endpoints zijn bekend, met veel security leveranciers die handtekeningen toevoegen voor verzoeken die aan deze endpoints worden gedaan (bijv. Cloudflare, Snort/Suricata, etc.4 ). Picus heeft er veel opgesomd onderaan hun artikel5. SIEM-providers zoals Splunk gaven ook voorbeelden van query's om te jagen op verdachte verzoeken. Sommige endpoints die gekoppeld zijn aan het kwetsbare pad " https:///api/v1/totp/user-backup-code/.." zijn echter niet goed gedocumenteerd door de leverancier, en onze experts ontdekten dat het product sommige van deze verzoeken niet correct logt. Pogingen tot uitbuiting door aanvallers voordat XML-mitigatie werd toegepast, hebben mogelijk weinig bewijs achtergelaten in logboeken en meer geavanceerd onderzoek kan nodig zijn.
• Ivanti heeft patches uitgebracht voor CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 en CVE-2024-21893, in deze ICS-versies:

• 9.1R14.4,
• 9.1R17.2,
• 9.1R18.3,
• 22.4R2.2,
• 22.5R1.1.

Ivanti ZTA versie 22.6R1.3 heeft ook een patch ontvangen voor de 4 genoemde kwetsbaarheden.

Ivanti raadt aan om een fabrieksreset van apparaten uit te voeren voordat de patch wordt uitgevoerd. We raden u echter aan om apparaten te patchen zodra er beveiligingsfixes voor jouw versies worden vrijgegeven, zelfs als dit complexer is dan het toepassen van de XML-mitigatie.

Als je niet kunt patchen, heeft Ivanti ook een nieuw XML mitigatiebestand aangekondigd (mitigation.release.20240126.5.xml) om je te beschermen tegen de twee extra 0-days die vandaag zijn uitgebracht. Wanneer deze beschikbaar is (NDLR: de downloadlink werkt niet om 14.00 uur Parijse tijd), raden we gebruikers ten zeerste aan om ten minste deze nieuwe bescherming in te zetten totdat de apparaten volledig kunnen worden gepatcht. Deze bijgewerkte workaround blokkeert het SAML-authenticatieprobleem dat kan worden gebruikt om misbruik te maken van CVE-2024-21893:

"De nieuwe beperking blokkeert alle SAML-communicatie en -authenticatie. Dit zal beperkte gevolgen hebben voor klanten die LDAP gebruiken voor authenticatie", aldus Ivanti.

Bovenop de nieuwe XML heeft Ivanti een nieuwe versie van hun externe ICT uitgebracht:

• ICT-V22622 Ivanti Connect Secure Generic Integrity Checker Software 22.xR2
• ICT-V22611 Ivanti Connect Secure Generieke Integriteitscontrole Software 22.xR1
• CT-V91183 Ivanti Connect Secure Generic Integrity Checker Software 9.x

Elk bedrijfsmiddel dat is blootgesteld aan internet en dat nog niet een van de mitigaties heeft toegepast, moet worden beschouwd als waarschijnlijk gehackt. Dit komt overeen met de meest recente CISA-blog6 waarin verdedigers wordt aangeraden om in ieder geval te blijven zoeken naar tekenen van compromittering.

• AssetNote [1] heeft opnieuw uitgelegd hoe de Ivanti-kwetsbaarheden kunnen worden misbruikt. De onderzoekers bevestigden dat sommige oude versies, zoals 9.1R11.4, mogelijk niet direct gecompromitteerd kunnen worden met behulp van de openbaar beschikbare PoC, maar presenteerden hoe het gebruikt kan worden met behulp van andere kwetsbare endpoints. Ze beschreven ook hoe wij (en andere beveiligingsteams) sinds meer dan een week op afstand controleren of een apparaat kwetsbaar is.
• Disk Decryption: Om mogelijke compromissen forensisch te onderzoeken, is het mogelijk om gegevens op de schijven van machines waarop het Ivanti-product draait te achterhalen. Helaas zijn sommige LILO-gebaseerde schijven versleuteld door de loop-AES encryptiesoftware, die wordt gebruikt om partities of bestanden op een Linux-systeem te versleutelen. Incident responders bij Northwave hebben [2] een Python script beschikbaar gesteld op GitHub met het gedetailleerde proces om de schijven te ontsleutelen. Sommige versleutelingscodes die al zijn gevonden, worden momenteel privé gedeeld binnen de CERT-gemeenschap om het forensisch onderzoek te versnellen.
• Blootstelling aan gevoelige gegevens: Tijdens onze incidentrespons konden we de beweringen van Volexity bevestigen dat UTA0178 gegevens heeft gestolen en deze heeft ingesloten in een op afstand toegankelijk GIF-bestand met de naam "logo.gif". Deze tactiek brengt extra beveiligingsrisico's met zich mee voor deze gecompromitteerde apparaten, omdat een enorme hoeveelheid kritieke informatie (wachtwoorden, configuraties, geheime sleutels, certificaten, enz. Erger nog, sommige eerder gecompromitteerde apparaten lijken nu gemitigeerd (d.w.z. ze draaien de XML-workaround) maar geven deze bestanden nog steeds vrij.
• Gecompromitteerde instanties:
  • Censys [3]heeft 412 apparaten geïdentificeerd die nog steeds gecompromitteerd zijn door de credential harvester module (d.w.z. lastauthserverused.js), maar dit toont slechts een deel van de gehackte apparaten, aangezien honderden andere ook nog steeds zijn gemanipuleerd met de GIFTDVISITOR webshell.
  • HarfangLab [4] heeft uitgelegd hoe het aantal webshells is gedaald (omdat apparaateigenaren ze hebben schoongemaakt of offline hebben gehaald), maar dat het aantal JavaScript credential harvesters blijft groeien en nu dat van de webshells heeft overtroffen.
  • Daarnaast heeft Quointell [5] een variant van de webshell geïdentificeerd die wordt gebruikt door UTA1078 (ook UNC5221 genoemd) om sommige detecties te omzeilen die momenteel gebruikmaken van de openbare Yara-regel van Mandiant. De nieuwe webshell wordt gedropt op een nieuw pad: ../api/resources/category.py (in plaats van /visits.py.
  • Geautomatiseerde uitbuiting zal nog verder toenemen omdat er op 20 januari een Metasploit-module is uitgebracht.
• Waarschuwing voor herstel: Zoals we al vermeldden, heeft Ivanti op 20 januari hun KB bijgewerkt met het advies aan klanten om geen back-upconfiguraties toe te passen op nieuwe instanties die al de XML-mitigatie hebben.
• Alle IOC's met betrekking tot de C2-infrastructuur van de aanvallers op afstand zijn toegevoegd aan onze Datalake repository. We zijn meerdere opdrachten gestart voor klanten in verschillende sectoren en kunnen u helpen de twijfel weg te nemen of uw apparaat gecompromitteerd is of niet. We blijven ook proberen om op regelmatige basis kwetsbare, gemitigeerde of gecompromitteerde apparaten te identificeren die online zijn blootgesteld.

• Diverse dreigingsactoren richten zich nu op kwetsbare apparaten via openbare PoC's en zetten cryptominers in
• UTA0178 probeert detectie te omzeilen door te rommelen met de interne ICT-tool, waardoor sommige apparaten opnieuw gecompromitteerd zijn.
• Klanten wordt dringend verzocht alleen de externe ICT van Ivanti te gebruiken en als ICT periodiek wordt uitgevoerd, de logboeken van de tool te controleren om er zeker van te zijn dat een compromittering niet eerder is gedetecteerd.
• Geen OCD-beheerde apparatuur aangetast, maar CSIRT is begonnen met het inschakelen van niet-beheerde instanties. Waarschuwing voor kwetsbare of slachtofferclients nog gaande

Een forensisch bedrijf genaamd Volexity ontdekte begin december 2023 voor het eerst twee 0-day kwetsbaarheden, CVE-2023-46805 en CVE-2024-21887, in Ivanti's Connect Secure (ICS) producten. Deze kwetsbaarheden werden misbruikt om webshells in te voegen die Volexity de naam GLASSTOKEN gaf. Volexity wees ook UTA0178 toe als de naam van de onbekende dreigingsacteur die volgens hen banden heeft met de Chinese overheid.

Het niveau van geavanceerdheid en stealth van de bedreigingsactoren is hoog en aanvankelijk werd gedacht dat de gedetecteerde activiteit gerelateerd kon zijn aan een gerichte spionagecampagne, vanwege het aanvankelijk lage aantal getroffen ICS-hosts. Later nam het aantal getroffen ICS-hosts toe, waardoor de waarschijnlijkheid afnam dat we te maken hadden met een zeer gerichte aanval. UTA0178 moet nog worden gedefinieerd in termen van andere bestaande Chinese hackers van natiestaten. Volexity kondigde ook aan dat een andere dreiger, getraceerd als UTA0188, zich ook richt op de ICS-fouten.

Na het Volexity-rapport deelde Mandiant ook technische details van de malware die in verband wordt gebracht met de recente aanvallen die worden toegeschreven aan de dreigingsactor UTA0178 (door Mandiant getraceerd als UNC5221). Bij de post-exploitatieactiviteit wordt gebruikgemaakt van verschillende aangepaste malware, genaamd ZIPLINE, THINSPOOL, LIGHTWIRE, WARPWIRE en WIREFIRE.

Op 10 januari 2024 heeft Ivanti deze twee 0-days erkend door een advisory te publiceren waarin de getroffen producten worden aangeduid als de Ivanti Connect Secure en Ivanti Policy Secure producten. Deze kwetsbaarheden hebben invloed op alle versies van Ivanti Connect Secure (een VPN-oplossing voorheen bekend als Pulse Connect Secure), Policy Secure en tot op zekere hoogte Neurons voor ZTA gateway.

De twee kwetsbaarheden werden aan elkaar gekoppeld om ongeautoriseerde Remote Code Execution (RCE) mogelijk te maken. CVE-2023-46805 is een kwetsbaarheid voor het omzeilen van de authenticatie, terwijl CVE-2024-21887 een beveiligingslek voor commando-injectie is. In combinatie bieden ze aanvallers ongeauthenticeerde toegang tot de ICS-host, waardoor ze verder terrein kunnen winnen op het netwerk en lateraal kunnen bewegen, in dit geval met behulp van protocollen zoals RDP, SMB en SSH.

Helaas werden details van de kwetsbaarheden bekend door werk gepubliceerd door Watchtower Labs en Rapid 7. Watchtower Labs publiceerde een blogpost waarin ze aankondigden dat ze erin waren geslaagd om de zwakke plekken te reproduceren. Ze legden uit dat door het identificeren van de eindpunten die door Ivanti werden geblokkeerd in haar workaround (d.w.z. het versleutelde XML mitigatiebestand), er verschillen zichtbaar waren in de antwoorden van kwetsbare vs. gemitigeerde instanties. Rapid 7 onthulde vervolgens details met betrekking tot CVE-2023-46805, waardoor anderen exploits voor dit lek konden maken.

Natuurlijk verwachten we een toename van het aantal exploit-pogingen, aangezien er nog steeds enkele duizenden apparaten ongepatcht zijn. Rond dezelfde tijd meldde GreyNoise dat ze een toename hadden ontdekt van het aantal pogingen om de twee ICS-kwetsbaarheden te misbruiken. Volexity gaf op zijn beurt aan dat aanvallers momenteel malware installeren die cryptomining (XMRIG) en andere soorten payloads mogelijk maakt.

Op 17 januari 2023 hadden meer dan 4.000 ICS-hosts nog steeds niet de mitigatie van Ivanti. Rond dezelfde tijd schatte Volexity dat ongeveer 2.100 Ivanti Connect Secure VPN-apparaten waren gecompromitteerd met het GIFTEDVISITOR-implantaat dat wordt toegeschreven aan UTA0178.

Enkele bijbehorende logs die mogelijk kunnen worden onderzocht zijn:

msg="WEB31809: Access for /api/v1/configuration/users/user-roles/user-role/rest-userrole1/web/web-bookmarks/bookmark is blocked due to patch(Patch 2)." 

Om te controleren of XML is toegepast, kan je bijvoorbeeld een van de endpoints oproepen:

• /api/v1/configuration/users/user-roles/user-role/rest-userrole-1/web/web-bookmarks/bookmark 

• /api/v1/configuration/users/user-roles/user-role/rest-userrole1/web/web-bookmarks/bookmark 

Deze REST API is geïntroduceerd in de 8.3R3 versie van Pulse Secure en staat in de documentatie voor alle 9.XRX versies. 

Een Nmap-script kan deze controle vereenvoudigen. Het antwoord zal in beide gevallen een 403 Forbidden bevatten, maar de inhoud van het antwoord zal zijn:

• an empty page for a vulnerable instance 

• a full HTML content embedding "Access to the Web site is blocked by your administrator. [...]" in the case the XML fix was applied

• Mandiant heeft de GLASSTOKEN webshell die wordt genoemd in het Volexity-artikel gedetailleerd beschreven. Mandiant volgt deze malware onder de naam LIGHTWIRE. Deze malware is ingebed in een legitiem Connect Secure-bestand (een CGI-script) en stelt de dreigingsactor in staat om specifieke verzoeken te onderscheppen en te interpreteren als Perl-code. Het is belangrijk op te merken dat deze LIGHTWIRE alleen verzoeken naar "compcheckresult.cgi" onderschept die de parameters 'comp=comp' en 'compid' bevatten. 
• THINSPOOL fungeert als Perl-script om de LIGHTWIRE webshells naar een legitiem Ivanti Connect Secure-bestand te droppen. Hierdoor kan de bedreigende actor blijven bestaan op aangetaste apparaten en Ivanti Connect Secure-bestanden of -processen zodanig manipuleren dat detectie wordt voorkomen. Volgens de waarnemingen van Mandiant is deze poging echter mislukt, omdat deze werd gedetecteerd door de Integrity Checker Tool van Ivanti. 
• WIREFIRE is de Python webshell die functioneert als trojaans paard voor een specifiek onderdeel van de Connect Secure appliance (het eerder genoemde visits.py bestand). Deze webshell kan ook bestanden downloaden en willekeurige opdrachten uitvoeren op het gecompromitteerde apparaat. Daarnaast decodeert, ontcijfert en decomprimeert het alle onbewerkte gegevens na een GIF-header (Graphics Interchange Format) om als subproces te worden uitgevoerd. WIREFIRE gebruikt deze header ongetwijfeld om kwaadaardige gegevens te maskeren of te transporteren. 
• WARPWIRE is de tool voor het verzamelen van referenties, geschreven in Javascript en ingesloten in een legitiem Connect Secure bestand, dat ook kort wordt genoemd door Volexity. Het belangrijkste doel is het verzamelen van referenties, inclusief gebruikersnamen en wachtwoorden in platte tekst. Zodra deze informatie is verzameld, wordt deze Base64-gecodeerd en verzonden naar een command-and-control server met behulp van HTTP GET-verzoeken. 
• ZIPLINE is de enige nieuwe malware, meer precies een ELF passieve backdoor die de accept() functie in libsecure.so kaapt om netwerkverkeer te onderscheppen en de controle over de inkomende verbinding discreet over te nemen, zonder argwaan te wekken. Zodra dit is bereikt, voert de malware verschillende kwaadaardige acties uit, zoals het verzamelen van informatie, het downloaden van bestanden, het opzetten van proxyservers en tunnelservers. Maar Mandiant heeft geen hash van een monster van deze variant geleverd.

Malicious file location: 

• /home/perl/DSLogConfig[.]pm 

• /home/etc/sql/dsserver/sessionserver[.]pl 

• /home/etc/sql/dsserver/sessionserver[.]sh 

• /home/webserver/htdocs/dana-na/auth/compcheckresult[.]cgi 

• /home/webserver/htdocs/dana-na/auth/lastauthserverused[.]js 

• /tmp/rev 

• /tmp/s[.]py 

• /tmp/s[.]jar 

• /tmp/b 

• /tmp/kill 

Hostname: 

• gpoaccess[.]com 

• webb-institute[.]com 

• symantke[.]com 

IPs: 

• 206.189.208[.]156 

• 75.145.243[.]85 

• 47.207.9[.]89 

• 98.160.48[.]170 

• 173.220.106[.]166 

• 73.128.178[.]221 

• 50.243.177[.]161 

• 50.213.208[.]89 

• 64.24.179[.]210 

• 75.145.224[.]109 

• 50.215.39[.]49 

• 71.127.149[.]194 

• 173.53.43[.]7 

MD5 hash: 

• 3d97f55a03ceb4f71671aa2ecf5b24e9 (compcheckresult[.]cgi) 

• 677c1aa6e2503b56fe13e1568a814754 (sessionserver[.]sh) 

• d0c7a334a4d9dcd3c6335ae13bee59ea (lastauthserverused[.]js) 

• 6de651357a15efd01db4e658249d4981 (visits[.]py) 

Als je de risico's wilt afdekken en de dreiging wilt beperken, in detectie of in de jacht, raadpleeg dan de up-to-date IOC die zichtbaar is in de Datalake!