MITRE Corporation ยืนยันว่าพบเหตุการณ์ที่คาดว่ามาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ ได้โจมตีระบบระบบของพวกเขาในเดือนมกราคม 2024 ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

เหตุการณ์ดังกล่าวถูกพบภายหลังจากการตรวจสอบพฤติกรรมที่น่าสงสัยใน Networked Experimentation, Research and Virtualization Environment (NERVE) ของ MITRE ซึ่งเป็นเครือข่ายความร่วมมือที่ไม่ได้ถูกจัดแบ่งประเภท ซึ่งใช้สำหรับการวิจัย และพัฒนา

MITRE ได้แจ้งฝ่ายที่ได้รับผลกระทบเกี่ยวกับการโจมตีดังกล่าว ทำการติดต่อหน่วยงานที่เกี่ยวข้อง และขณะนี้กำลังดำเนินการฟื้นฟูการทำงานของระบบ

หลักฐานที่รวบรวมได้ระหว่างการสอบสวนจนถึงตอนนี้แสดงให้เห็นว่าการโจมตีครั้งนี้ไม่ส่งผลกระทบต่อระบบเครือข่ายหลักขององค์กร หรือระบบของพันธมิตร

Jason Providakes ซีอีโอของ MITRE ระบุเมื่อวันศุกร์ที่ผ่านมาว่า “ไม่มีองค์กรใดสามารถรอดพ้นจากการโจมตีทางไซเบอร์ลักษณะนี้ ไม่แม้แต่องค์กรที่พยายามรักษาความปลอดภัยทางไซเบอร์ให้สูงที่สุดเท่าที่จะเป็นไปได้”

"MITRE จะเปิดเผยรายละเอียดของเหตุการณ์นี้ในช่วงเวลาที่เหมาะสม เนื่องจากความมุ่งมั่นที่จะดำเนินงานเพื่อประโยชน์สาธารณะ และเพื่อสนับสนุนแนวทางปฏิบัติที่ดีที่สุดที่ยกระดับความปลอดภัยขององค์กร ตลอดจนมาตรการที่จำเป็นเพื่อปรับปรุงแนวทางการป้องกันทางไซเบอร์ในปัจจุบันของอุตสาหกรรม"

MITRE CTO Charles Clancy และวิศวกรความปลอดภัยทางไซเบอร์ Lex Crumpton ยังได้อธิบายเพิ่มเติมว่า ผู้โจมตีได้โจมตีหนึ่งใน Virtual Private Networks (VPN) ของ MITRE ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

โดยผู้โจมตีสามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้โดยใช้วิธีการ session hijacking ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐาน VMware ของเครือข่ายที่ถูกโจมตีโดยใช้บัญชีผู้ดูแลระบบที่ได้มา

ตลอดเหตุการณ์ที่เกิดขึ้น แฮ็กเกอร์ใช้การผสมผสานระหว่าง webshells และแบ็คดอร์ที่มีความซับซ้อนเพื่อรักษาการเข้าถึงระบบที่ถูกแฮ็ก และขโมยข้อมูล credentials

โดยตั้งแต่ต้นเดือนธันวาคม 2023 ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ได้แก่ auth bypass (CVE-2023-46805) และ command insert (CVE-2024-21887) ได้ถูกนำไปใช้กับมัลแวร์หลายตระกูลเพื่อวัตถุประสงค์ในการโจมตีทางไซเบอร์

Mandiant ได้เชื่อมโยงการโจมตีเหล่านี้กับกลุ่ม APT ที่ถูกติดตามในชื่อ UNC5221 ในขณะที่ Volexity รายงานว่าเห็นสัญญาณที่แสดงให้เห็นว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนกำลังใช้ประโยชน์จาก zero-days ทั้งสองรายการ

Volexity ระบุว่าแฮ็กเกอร์ชาวจีนติดตั้งแบ็คดอร์บนอุปกรณ์ Ivanti ไปมากกว่า 2,100 เครื่อง เพื่อขโมยข้อมูลบัญชี และ session จากเครือข่ายที่ถูกโจมตี ซึ่งเหยื่อมีตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรที่ใหญ่ที่สุดทั่วโลก รวมถึงบริษัทที่ติดอันดับ Fortune 500 จากกลุ่มอุตสาหกรรมต่าง ๆ

เนื่องจากการโจมตีจำนวนมาก และ attack surface ที่กว้างขวาง CISA จึงออกคำสั่งฉุกเฉินฉบับแรกของปีนี้เมื่อวันที่ 19 มกราคม 2024 โดยสั่งให้หน่วยงานรัฐบาลกลางดำเนินการเพื่อลดผลกระทบจากช่องโหว่ Zero-Day ใน Ivanti ทันที

ที่มา : bleepingcomputer.

CISA แจ้งเตือนห้ามใช้ Ivanti VPN gateways ที่ถูกโจมตี แม้ว่าจะทำการ factory reset แล้วก็ตาม

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA แจ้งเตือนผู้ใช้งานอุปกรณ์ Ivanti VPN ว่าอุปกรณ์ Ivanti VPN ที่ถูกโจมตีจากช่องโหว่ อาจมีความเสี่ยงในการแฝงตัวของสิทธิ์ root ถึงแม้ว่าจะทำการ factory reset บนอุปกรณ์แล้วก็ตาม รวมถึงสามารถหลีกเลี่ยงการตรวจจับจาก Ivanti internal และ external Integrity Checker Tool (ICT) บน Ivanti Connect Secure และ Policy Secure gateway ที่ถูกโจมตี ซึ่งใช้ช่องโหว่เหล่านี้ CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 และ CVE-2024 -21893

โดยช่องโหว่ทั้ง 4 รายการนี้ มีระดับความรุนแรงตั้งแต่ High จนถึงระดับ Critical ซึ่งมีความสามารถในการโจมตีในรูปแบบต่าง ๆ เช่น authentication bypass, command injection, server-side-request forgery และ arbitrary command execution

ทั้งนี้ CISA พบว่า Ivanti ICT ไม่สามารถตรวจจับเหตุการณ์การโจมตีหลายครั้งที่เกี่ยวข้องกับอุปกรณ์ Ivanti ที่มีช่องโหว่ เนื่องจาก Web Shell ที่พบในระบบไม่มีไฟล์ที่ไม่ตรงกันตามข้อมูลของ Ivanti ICT

รวมถึงจากการตรวจสอบของทีม forensic พบว่า Hacker ได้ทำการปกปิดการโจมตีด้วยการเขียนทับไฟล์ การหยุดการทำงานไฟล์ และติดตั้ง runtime partition ใหม่ เพื่อเรียกคืนค่าอุปกรณ์ที่ถูกโจมตีให้เป็น "clean state"

ซึ่งแสดงให้เห็นว่า Ivanti ICT ไม่น่าเชื่อถือในการตรวจจับการโจมตีจากช่องโหว่ก่อนหน้านี้ หลังจากนั้นทาง Ivanti ได้ทำการอัปเดตเพื่อแก้ไขปัญหาที่พบใน Ivanti ICT
โดย CISA ได้ให้คำแนะนำแก่หน่วยงานของรัฐบาลกลางเกี่ยวกับวิธีการดำเนินการหลังจากค้นพบสัญญาณของการโจมตีในอุปกรณ์ Ivanti VPN บนเครือข่ายดังนี้

ระบุข้อมูลบัญชีผู้ใช้ และบัญชีอื่น ๆ ที่อยู่ในอุปกรณ์ Ivanti VPN ที่มีแนวโน้มว่าจะถูกโจมตี
ค้นหาพฤติกรรมที่เป็นอันตรายบนเครือข่าย โดยใช้วิธีการตรวจจับจาก indicators of compromise (IOC) ตามรายงาน
ใช้งาน ICT ตัวอัปเดตล่าสุดของ Ivanti
ทำตามคำแนะนำในการอัปเดตแพตช์ เมื่อมีการอัปเดตเวอร์ชันของ Ivanti รวมถึงหากตรวจพบการโจมตีที่อาจเกิดขึ้นในองค์กร ควรรวบรวม และวิเคราะห์ log และ artifacts ที่เป็นอันตราย และทำตามคำแนะนำในการตอบสนองต่อเหตุการณ์ตามรายงาน

CISA แจ้งเตือนถึงความเสี่ยงที่มีความสำคัญ

โดยทาง Ivanti ได้ออกมาชี้แจงกรณีที่ CISA ได้รายงานว่าพบ Hacker พยายามเข้าถึงอุปกรณ์ Ivanti จากระยะไกล และแฝงตัวในระบบ ซึ่ง Ivanti ระบุว่าหาก Hacker ทำการโจมตีด้วยวิธีการที่ CISA รายงานจะไม่สามารถเชื่อมต่อกับอุปกรณ์ Ivanti Connect Secure ได้

แต่อย่างไรก็ตามทาง CISA ก็ยังแนะนำให้ผู้ใช้งานอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure gateway ที่ได้รับผลกระทบ ให้พิจารณาว่าจะใช้งานอุปกรณ์เหล่านี้ต่อไปในระบบเครือข่ายขององค์กรหรือไม่ เนื่องจาก CISA ยังมีความเป็นห่วงเรื่องความปลอดภัยของอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure ที่ถูกโจมตีก่อนหน้านี้ แม้ว่าจะทำการ cleaning และทำการ factory reset แล้วก็ตาม

ในวันที่ 1 กุมภาพันธ์ 2024 CISA ได้สั่งให้หน่วยงานรัฐบาลกลางทั้งหมดทำการยกเลิกการเชื่อมต่อ Ivanti Connect Secure และ Ivanti Policy Secure ทั้งหมดจากเครือข่ายภายใน 48 ชั่วโมง เพื่อตอบสนองต่อภัยคุกคามที่สำคัญ และความเสี่ยงที่เพิ่มขึ้นของการโจมตีที่เกิดจากอุปกรณ์ Ivanti VPN ที่ถูกโจมตีช่องโหว่

โดยหน่วยงานได้รับคำสั่งให้ทำการ factory reset และอัปเดตให้เป็นเวอร์ชันใหม่ที่ได้รับการแก้ไขช่องโหว่แล้ว จากนั้นจึงนำ Configuration ที่ backup ไว้กลับมาใช้อีกครั้ง และเพิกถอน certificates, keys และรหัสผ่านที่เชื่อมต่อทั้งหมด เพื่อให้สามารถนำอุปกรณ์ที่ถูก isolate กลับมาได้ใช้งานต่อ

รวมถึงหน่วยงานที่พบว่าผลิตภัณฑ์ Ivanti ที่ใช้งานได้ถูกโจมตีบนเครือข่ายไปแล้ว ได้รับคำสั่งให้สันนิษฐานว่าบัญชีบนโดเมนที่มีการเชื่อมโยงทั้งหมดถูกโจมตีไปแล้ว โดยมีคำสั่งให้ปิดการใช้งานอุปกรณ์ที่เชื่อมต่อ/ลงทะเบียน (cloud environment) หรือทำการรีเซ็ตรหัสผ่านสำหรับทุกบัญชี และเพิกถอน Kerberos ticker และ cloud tokens (hybrid setup)

ที่มา : bleepingcomputer.

Cyble Global Sensors ตรวจพบการโจมตีช่องโหว่ของ Ivanti Connect Secure อย่างต่อเนื่อง

 

 

 

 

 

 

 

 

 

 

 

Cyble Global Sensor Intelligence (CGSI) ตรวจพบการโจมตีอย่างต่อเนื่องของช่องโหว่ที่ถูกเปิดเผยออกมาเมื่อเร็ว ๆ นี้ใน Ivanti Connect Secure (ICS) ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Pulse Connect Secure และ Ivanti Policy Secure gateways

Ivanti ได้ออกมาแจ้งเตือนช่องโหว่ด้านความปลอดภัยเมื่อวันที่ 10 มกราคม 2024 เกี่ยวกับช่องโหว่ที่พบใน Ivanti Connect Secure (ICS) ซึ่งแต่เดิมชื่อ Pulse Connect Secure และ Ivanti Policy Secure gateways โดยการแจ้งเตือนระบุถึงช่องโหว่สองรายการ คือ CVE-2023-46805 และ CVE-2024-21887 ซึ่งเมื่อรวมช่องโหว่ทั้งสองรายการเข้าด้วยกัน จะทำให้ผู้ไม่หวังดีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถสร้าง requests ที่เป็นอันตราย ซึ่งนำไปสู่การดำเนินการคำสั่งต่าง ๆ บนระบบได้

โดยในคำแนะนำล่าสุดจาก Cybersecurity and Infrastructure Security Agency (CISA) ก็ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่เหล่านี้

ในวันเดียวกัน Volexity ได้เปิดเผยกรณีที่มีการใช้ช่องโหว่ทั้งสองรายการในการโจมตี ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) บนอุปกรณ์ Ivanti Connect Secure VPN โดยผู้โจมตีใช้ exploits เหล่านี้เพื่อนำข้อมูลการกำหนดค่าออก, แก้ไขไฟล์ที่มีอยู่, ดึงข้อมูลจากระยะไกล, และสร้าง reverse tunnel จาก ICS VPN appliance

นอกจากนี้ยังพบฟอรัมเกี่ยวกับการโจมตีทางไซเบอร์ที่เสนอขาย exploit ระยะเวลา 1 วัน ซึ่งมีราคาการขายอยู่ที่ 30,000 ดอลลาร์สหรัฐ โดยวันที่โพสต์คือ 16 พฤศจิกายน 2023 ซึ่งชี้ให้เห็นถึงความเป็นไปได้ที่ผู้ไม่หวังดีสามารถโจมตีช่องโหว่ได้ก่อนที่ exploit จะถูกเปิดเผยออกสู่สาธารณะ

โดยข้อความล่าสุดบนฟอรัมระบุว่า "ถึงแม้จะมี Proof-of-Concept (PoC) ถูกปล่อยออกมาแล้ว แต่ก็ยังไม่ได้ถูกทดสอบว่าสามารถใช้งานได้จริง" อย่างไรก็ตามปัจจุบันเจ้าของโพสน์ดังกล่าวได้ยกเลิกการขาย exploit แล้ว โดยระบุว่าปัจจุบัน Ivanti ได้ดำเนินการแก้ไขเพื่อลดความเสี่ยงจากช่องโหว่นี้แล้ว

รายละเอียดของช่องโหว่

ช่องโหว่ Ivanti Connect Secure และ Policy Secure Authentication Bypass

- CVE-2023-46805 (CVSS : 8.2 ความรุนแรงระดับสูง) ช่องโหว่ในการ bypass การพิสูจน์ตัวตนใน web component ของ Ivanti ICS 9.x, 22.x, และ Ivanti Policy Secure ทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงระบบโดยสามารถหลีกเลี่ยงการตรวจจับได้

- เวอร์ชันที่มีช่องโหว่ : Ivanti ICS 9.x, 22.x

ช่องโหว่ Ivanti Connect Secure และ Policy Secure Command Injection

- CVE-2024-21887 (CVSS : 9.1 ระดับความรุนแรง Critical) ช่องโหว่ command injection ใน web component ของ Ivanti Connect Secure (9.x, 22.x) และ Ivanti Policy Secure (9.x, 22.x) ทำให้ผู้ที่ผ่านการพิสูจน์ตัวตนในสิทธิ์ administrator สามารถส่ง requests ที่ถูกสร้างขึ้นเป็นพิเศษ และดำเนินคำสั่งได้ตามที่ต้องการบนอุปกรณ์ได้

- เวอร์ชันที่มีช่องโหว่ : Ivanti ICS 9.x, 22.x

การเปิดเผยข้อมูลของระบบ Ivanti Pulse Secure ที่เกิดขึ้น

ตามรายงานจาก Cyble ODIN scanner พบว่ามี Pulse Secure มากกว่า 10,000 รายการที่เข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา และญี่ปุ่น

 

 

 

 

 

 

 

 

 

 

 

 

 

ข้อมูลทางเทคนิคที่เกี่ยวข้อง

Cyble Global Sensor Intelligence (CGSI) ได้บันทึกความพยายามในการสแกนจำนวนมากที่เกี่ยวข้องกับการใช้ช่องโหว่ที่เพิ่งถูกเปิดเผย และมีผลต่อ Ivanti Pulse Connect Secure โดยช่องโหว่ที่พบเหล่านี้คือ CVE-2023-46805 Authentication Bypass และ CVE-2024-21887 ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล (Remote Command Execution) ได้

CVE-2023-46805 – ช่องโหว่ Authentication Bypass

ตามเอกสารเกี่ยวกับการลดความเสี่ยงของ Ivanti ช่องโหว่มีผลกระทบต่อระบบอัตโนมัติที่มีการใช้ REST APIs สำหรับการกำหนดค่า และการตรวจสอบ นักวิจัยได้เริ่มต้นการสำรวจจากจุดนี้เพื่อทำความเข้าใจช่องโหว่บนระบบ

กระบวนการเริ่มต้นด้วยการค้นหาแพ็กเกจ "restservice" และค้นพบ API endpoints หลายแห่ง ต่อมานักวิจัยใช้ Burp Intruder เพื่อประเมินการเข้าถึงอุปกรณ์ endpoint โดยไม่ต้องมีการพิสูจน์ตัวตน อย่างไรก็ตามพวกเขาสามารถระบุได้เพียงสอง endpoint ที่สามารถเข้าถึงได้โดยไม่ต้องการการพิสูจน์ตัวตน

เพื่อยืนยันการค้นพบนี้ นักวิจัยได้พยายามเข้าถึงผ่าน "/api/v1/totp/user-backup-code" โดยใช้วิธี path traversal ซึ่งทำให้ผู้ไม่หวังดีสามารถไปยังโครงสร้างไดเรกทอรี และเข้าถึงไฟล์ หรือไดเรกทอรีที่ไม่ควรสามารถเข้าถึงได้

โดยผู้ไม่หวังดีจะสามารถเข้าถึงทรัพยากรอื่น ๆ ที่ endpoint และสามารถเริ่มต้นการค้นหาช่องโหว่ command injection ที่เกี่ยวข้องได้ ซึ่งจะทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล (Remote Code Execution) โดยไม่ต้องผ่านการพิสูจน์ตัวตนได้

CVE-2024-21887 ช่องโหว่ Command Injection

เมื่อสามารถเข้าถึงที่ endpoint ได้ ผู้ไม่หวังดีจะสามารถเริ่มต้นการค้นหาช่องโหว่ command injection ที่เกี่ยวข้องได้

ถัดมาคือการระบุฟังก์ชันซึ่งอนุญาตให้สร้าง child process ด้วย arguments ที่ต้องการ ฟังก์ชันที่มีการเรียกใช้แบบนี้มักจะเป็นที่มาของช่องโหว่ command injection

เพื่อทำให้บรรลุเป้าหมาย นักวิจัยระบุว่าใช้วิธี "get" ในไฟล์ "restservice/api/resources/license.