Agências de segurança de vários países alertam que invasores conseguiram enganar as ferramentas de verificação de integridade fornecidas pela Ivanti em resposta aos recentes ataques que exploraram vulnerabilidades de dia zero nos gateways Connect Secure e Policy Secure da fornecedora. As agências também identificaram uma técnica em laboratório que poderia ser usada para obter persistência de malware em dispositivos Ivanti, apesar das redefinições de fábrica.
“As organizações exortam veementemente todas as organizações a considerarem o risco significativo de acesso e persistência de malwares nos gateways Ivanti Connect Secure e Ivanti Policy Secure ao determinar se devem continuar operando esses dispositivos em um ambiente corporativo”, diz a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA em um comunicado em coautoria com o FBI, a agência de inteligência e segurança da informação Australian Signals Directorate, o Centro Nacional de Segurança Cibernética (NCSC)do Reino Unido, a agência de criptologia do governo canadense Communications Security Establishment (CSE) e o Centro Nacional de Segurança Cibernética da Nova Zelândia.
A Ivanti, por sua vez, respondeu lançando uma versão aprimorada de sua ferramenta externa de verificação de integridade (ICT) e disse acreditar que a técnica de persistência desenvolvida pela CISA em seu laboratório não funcionaria em um ambiente operacional de cliente porque os invasores perderiam a conexão com o dispositivo.
A CISA identificou durante vários trabalhos de resposta a incidentes que as ferramentas de verificação de integridade interna e externa fornecidas pela Ivanti não conseguiram detectar os comprometimentos existentes. São ferramentas que verificam áreas importantes do sistema de arquivos em busca de modificações e sinais conhecidos que possam indicar um ataque.
No entanto, como essas ferramentas são executadas periodicamente e não continuamente — a ferramenta interna verifica a cada duas horas —, os operadores de malware podem tentar evitar a detecção ativando o malware entre as verificações. Isto é exatamente o que a empresa de resposta a incidentes Mandiant observou em ataques limitados perpetrados por um grupo APT com sede na China, rastreado pela empresa como UNC5325. Esse grupo começou a explorar a vulnerabilidade CVE-2024-21893 horas depois que a Ivanti a divulgou publicamente em 31 de janeiro e demonstrou um alto nível de conhecimento e familiaridade com o funcionamento interno dos gateways VPN SSL da Ivanti, sugerindo que fez engenharia reversa desses dispositivos.
Um dos malwares implantados pelo UNC5325 é um web shell — uma backdoor de acesso remoto baseada na web — chamado BushWalk, escrito em linguagem Perl e incorporado em um componente legítimo do Ivanti Connect Secure chamado querymanifest.cgi. Nos ataques mais recentes, o grupo utilizou uma nova variante deste shell e uma técnica que lhes permitiu habilitá-lo e desabilitá-lo com base na string user-agent especificada nas solicitações enviadas ao shell.
“Ivanti, Mandiant e CISA recomendaram o uso de ICT externa atualizada para ajudar a detectar vetores de ataque conhecidos e detectar arquivos adicionais ou arquivos alterados”, disse Ivanti em uma postagem em seu blog. “Como enfatizou a Ivanti, esta é uma ferramenta de segurança útil e informativa em seu arsenal, para complementar outras ferramentas de segurança e monitoramento. Nossa recomendação continua sendo que você deve usar as TIC atualizadas em conjunto com monitoramento contínuo.”
Ferramentas adicionais de monitoramento contínuo são necessárias nos dispositivos porque o ICT fornece apenas um instantâneo do sistema de arquivos e não pode detectar alterações feitas pelos invasores no passado e posteriormente revertidas antes da ferramenta ser executada.
Veja isso
Ivanti corrige o novo bug de desvio de autenticação em VPNs
Ivanti atrasa cronograma de patch para corrigir dia zero em VPN
Para sobreviver às redefinições de fábrica, os invasores desenvolveram uma técnica complicada que verifica o tipo de dispositivo, monta a partição raiz de redefinição de fábrica em um diretório temporário e tenta fazer modificações para implantar uma versão trojanizada da ferramenta de arquivamento TAR (Tape ARchive) dentro dele. Esta versão do TAR descompactaria automaticamente o samba_upgrade.tar modificado maliciosamente durante um procedimento de redefinição de fábrica, basicamente restaurando a backdoor.
No entanto, essa técnica de persistência falhou porque a partição de redefinição de fábrica é criptografada com uma chave de criptografia codificada no kernel da versão em execução na compilação da compilação e é exclusiva para cada versão do dispositivo.
Esta não é a mesma técnica de persistência que a CISA afirma ter encontrado durante os seus testes laboratoriais internos e que a Ivanti não considera que seria prática em ataques reais. Nenhum detalhe foi divulgado sobre essa técnica, mas as tentativas do UNC5325 mostram que os invasores estão interessados em desenvolver tais métodos.
Para ter acesso ao fórum que aborda o CVE-2024-21893 da Ivanti (em inglês) clique aqui; já para acessar o relatório da CISA clique aqui.
