Graziano Salini
Brutto momento per tutti quelli che utilizzano un dispositivo Ivanti VPN: degli attaccanti cinesi stanno utilizzando a loro vantaggio degli exploit di tipo zero-day per bypassare completamente questo genere di strumenti, mettendo a rischio molteplici infrastrutture.
Quanti di voi conoscono Ivanti? Probabilmente nessuno e non ci sarebbe niente di strano in ciò: parliamo di una grande società americana specializzata nella sicurezza IT attraverso soluzioni software, non esattamente quello che si trova all’interno di un sito che parla di tecnologia.
Nel corso di questi giorni però questo nome compare molto più spesso nelle headline di questo o quell’altro sito e le motivazioni sono molto semplici: una preoccupante minaccia informatica di origine cinese sembra aver coinvolto migliaia di dispositivi dell’azienda sparsi in tutto il mondo, creando dei rischi notevoli per una grande quantità di strutture e infrastrutture.
Parliamo di vulnerabilità zero day prive di patch che permettono ad agenti esterni di fare ciò che vogliono attraverso l’installazione di webshell su server remoti; non esattamente quello che vorrebbe qualcuno che ha speso decine di migliaia di dollari in sicurezza informatica.
Cosa sta succedendo?
Tutto quanto è cominciato il 10 Gennaio dopo il rilascio di importanti informazioni di sicurezza da parte di Ivanti e di Volexity, quest’ultima importante azienda che si occupa di sicurezza informatica e che ha rilasciato tutta una serie di studi sul tipo di vulnerabilità che stanno venendo sfruttate dagli hacker cinesi per perforare le infrastrutture protette da dispositivi Ivanti.
.@Volexity detected an incident where it discovered a threat actor chained 2 #0days in Ivanti Connect Secure, CVE-2023-46805/CVE-2024-21887, to achieve RCE, modifying components of the software to backdoor the device.https://t.co/RibC5G0aOp#dfir #threatintel #memoryforensics — Volexity (@Volexity) 10 gennaio 2024
Oltre 1700 sono gli Ivanti Connect Secure VPN sparsi in tutto il mondo che sono sensbili a una particolare coppia di vulnerabilità zero day ancora prive di patch chiamate, rispettivamente, CVE-2023-46805 e CVE-2024-21887. La prima è una vulnerabilità che permette un bypass di autenticazione mentre la seconda permette di eseguire un attacco di tipo command injection, permettendo alla fine l’installazione di terminali accessibili da remoto su server web interni ed esterni protetti dalle sopracitate tipologie di VPN.
All’atto pratico la natura del file system di alcuni dispositivi ha permesso agli hacker di utilizzare uno script in Perl per modificare i diritti di accesso e distribuire 5 diverse tipologie di Malware. Gli strumenti principali utilizzati per mantenere l’accesso ai sistemi dopo la compromissione erano LIGHTWIRE e WIREFIRE, due tipologie di Webshell; a queste poi bisogna aggiungere la presenza del malware WARPWIRE (basato su Javascript) utilizzato per raccogliere le credenziali e ZIPLINE, una backdoor in grado di scaricare e caricare file, creare server proxy, impostare del tunnelling di rete per la distribuzione del traffito e installare eventuali reverse shell.
Secondo quanto riportato dai ricercatori di Volexity, il principale autore degli attacchi nei confronti degli Ivanti Connect Secure VPN sparsi per il mondo è conosciuto con il nome di UTA0178 ed è plausibilmente sostenuto dalla Cina; questo però non è l’unico ad essere venuto a conoscere di questo genere di debolezze dei sistemi in quanto pian piano la lista di attaccanti sta aumentando e da Dicembre scorso i numeri sono aumentati a tal punto da iniziare a rappresentare una seria minaccia per la sicurezza informatica a livello mondiale.
Ulteriori informazioni in relazione a questo evento provengono da Mandiant, azienda affiliata a Google e specializzata in sicurezza informatica; questa ha infatti condiviso degli indicatori di compromissione del malware che è stato utilizzato dal sopracitato UTA0178, identificandone il modus operandi come quello di un attaccante sponsorizzato dalla Cina. Gli attacchi si sono concentrati principalmente nel fornire spionaggio informatico, spingendo poi Volexity a rianalizzare la situazione.
Quali sono le contromisure prese?
.@Volexity provides an update on its Ivanti Connect Secure VPN report concerning chained exploitation of CVE-2024-21887/CVE-2023-46805. Based on new data, 1700+ devices have been compromised following widespread exploitation. Details: https://t.co/iP2JIuMnxI#dfir #threatintel — Volexity (@Volexity) 15 gennaio 2024
Secondo quanto raccolto gli oltre 1700 dispositivi VPN Ivanti Connect Secure colpiti appartengono a organizzazioni di varie dimensioni che vanno da aziende Fortune 500 in settori definiti come verticali a piccole imprese e startup; di queste la parte minoritaria è dislocata in Europa.
Il problema peggiore sembra riguardare le soluzioni per la mitigazione del rischio, al momento considerate poco efficienti e interessanti. Volexity stessa infatti avverte che le patch e le mitigazioni al momento impiegate non risuciranno a risolvere le compromissioni avvenute in passato e pertanto le organizzazioni che sono dotate di dispositivi Ivanti sono incoraggiate ad eseguire un’analisi approfondita dei propri registri, tra telemetria di rete e risultati degli strumenti di sicurezza alla ricerca di segni di compromissione.
Nel frattempo Ivanti stessa ha pubblicato delle linee guida aggiornate per il recupero da un eventuale compromissione mentre Rapid7 ha rilasciato una nuova analisi tecnica molto dettagliata sulla natura delle due vulnerabilità.