CISA แจ้งเตือนห้ามใช้ Ivanti VPN gateways ที่ถูกโจมตี แม้ว่าจะทำการ factory reset แล้วก็ตาม

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA แจ้งเตือนผู้ใช้งานอุปกรณ์ Ivanti VPN ว่าอุปกรณ์ Ivanti VPN ที่ถูกโจมตีจากช่องโหว่ อาจมีความเสี่ยงในการแฝงตัวของสิทธิ์ root ถึงแม้ว่าจะทำการ factory reset บนอุปกรณ์แล้วก็ตาม รวมถึงสามารถหลีกเลี่ยงการตรวจจับจาก Ivanti internal และ external Integrity Checker Tool (ICT) บน Ivanti Connect Secure และ Policy Secure gateway ที่ถูกโจมตี ซึ่งใช้ช่องโหว่เหล่านี้ CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 และ CVE-2024 -21893

โดยช่องโหว่ทั้ง 4 รายการนี้ มีระดับความรุนแรงตั้งแต่ High จนถึงระดับ Critical ซึ่งมีความสามารถในการโจมตีในรูปแบบต่าง ๆ เช่น authentication bypass, command injection, server-side-request forgery และ arbitrary command execution

ทั้งนี้ CISA พบว่า Ivanti ICT ไม่สามารถตรวจจับเหตุการณ์การโจมตีหลายครั้งที่เกี่ยวข้องกับอุปกรณ์ Ivanti ที่มีช่องโหว่ เนื่องจาก Web Shell ที่พบในระบบไม่มีไฟล์ที่ไม่ตรงกันตามข้อมูลของ Ivanti ICT

รวมถึงจากการตรวจสอบของทีม forensic พบว่า Hacker ได้ทำการปกปิดการโจมตีด้วยการเขียนทับไฟล์ การหยุดการทำงานไฟล์ และติดตั้ง runtime partition ใหม่ เพื่อเรียกคืนค่าอุปกรณ์ที่ถูกโจมตีให้เป็น "clean state"

ซึ่งแสดงให้เห็นว่า Ivanti ICT ไม่น่าเชื่อถือในการตรวจจับการโจมตีจากช่องโหว่ก่อนหน้านี้ หลังจากนั้นทาง Ivanti ได้ทำการอัปเดตเพื่อแก้ไขปัญหาที่พบใน Ivanti ICT
โดย CISA ได้ให้คำแนะนำแก่หน่วยงานของรัฐบาลกลางเกี่ยวกับวิธีการดำเนินการหลังจากค้นพบสัญญาณของการโจมตีในอุปกรณ์ Ivanti VPN บนเครือข่ายดังนี้

ระบุข้อมูลบัญชีผู้ใช้ และบัญชีอื่น ๆ ที่อยู่ในอุปกรณ์ Ivanti VPN ที่มีแนวโน้มว่าจะถูกโจมตี
ค้นหาพฤติกรรมที่เป็นอันตรายบนเครือข่าย โดยใช้วิธีการตรวจจับจาก indicators of compromise (IOC) ตามรายงาน
ใช้งาน ICT ตัวอัปเดตล่าสุดของ Ivanti
ทำตามคำแนะนำในการอัปเดตแพตช์ เมื่อมีการอัปเดตเวอร์ชันของ Ivanti รวมถึงหากตรวจพบการโจมตีที่อาจเกิดขึ้นในองค์กร ควรรวบรวม และวิเคราะห์ log และ artifacts ที่เป็นอันตราย และทำตามคำแนะนำในการตอบสนองต่อเหตุการณ์ตามรายงาน

CISA แจ้งเตือนถึงความเสี่ยงที่มีความสำคัญ

โดยทาง Ivanti ได้ออกมาชี้แจงกรณีที่ CISA ได้รายงานว่าพบ Hacker พยายามเข้าถึงอุปกรณ์ Ivanti จากระยะไกล และแฝงตัวในระบบ ซึ่ง Ivanti ระบุว่าหาก Hacker ทำการโจมตีด้วยวิธีการที่ CISA รายงานจะไม่สามารถเชื่อมต่อกับอุปกรณ์ Ivanti Connect Secure ได้

แต่อย่างไรก็ตามทาง CISA ก็ยังแนะนำให้ผู้ใช้งานอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure gateway ที่ได้รับผลกระทบ ให้พิจารณาว่าจะใช้งานอุปกรณ์เหล่านี้ต่อไปในระบบเครือข่ายขององค์กรหรือไม่ เนื่องจาก CISA ยังมีความเป็นห่วงเรื่องความปลอดภัยของอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure ที่ถูกโจมตีก่อนหน้านี้ แม้ว่าจะทำการ cleaning และทำการ factory reset แล้วก็ตาม

ในวันที่ 1 กุมภาพันธ์ 2024 CISA ได้สั่งให้หน่วยงานรัฐบาลกลางทั้งหมดทำการยกเลิกการเชื่อมต่อ Ivanti Connect Secure และ Ivanti Policy Secure ทั้งหมดจากเครือข่ายภายใน 48 ชั่วโมง เพื่อตอบสนองต่อภัยคุกคามที่สำคัญ และความเสี่ยงที่เพิ่มขึ้นของการโจมตีที่เกิดจากอุปกรณ์ Ivanti VPN ที่ถูกโจมตีช่องโหว่

โดยหน่วยงานได้รับคำสั่งให้ทำการ factory reset และอัปเดตให้เป็นเวอร์ชันใหม่ที่ได้รับการแก้ไขช่องโหว่แล้ว จากนั้นจึงนำ Configuration ที่ backup ไว้กลับมาใช้อีกครั้ง และเพิกถอน certificates, keys และรหัสผ่านที่เชื่อมต่อทั้งหมด เพื่อให้สามารถนำอุปกรณ์ที่ถูก isolate กลับมาได้ใช้งานต่อ

รวมถึงหน่วยงานที่พบว่าผลิตภัณฑ์ Ivanti ที่ใช้งานได้ถูกโจมตีบนเครือข่ายไปแล้ว ได้รับคำสั่งให้สันนิษฐานว่าบัญชีบนโดเมนที่มีการเชื่อมโยงทั้งหมดถูกโจมตีไปแล้ว โดยมีคำสั่งให้ปิดการใช้งานอุปกรณ์ที่เชื่อมต่อ/ลงทะเบียน (cloud environment) หรือทำการรีเซ็ตรหัสผ่านสำหรับทุกบัญชี และเพิกถอน Kerberos ticker และ cloud tokens (hybrid setup)

ที่มา : bleepingcomputer.

กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ server-side request forgery (SSRF) บน Ivanti Connect Secure, Policy Secure และ ZTA gateways ในการติดตั้ง DSLog backdoor ใหม่บนอุปกรณ์เหยื่อ

ช่องโหว่นี้มีหมายเลข CVE-2024-21893 ถูกเปิดเผยครั้งแรกในรูปแบบ Zero-Day ที่กำลังถูกใช้ในการโจมตีในวันที่ 31 มกราคม 2024 พร้อม ๆ กับการอัปเดตความปลอดภัย และวิธีการรับมือกับภัยคุกคามจาก Ivanti

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ SAML component (Security Assertion Markup Language) ซึ่งทำให้แฮ็กเกอร์สามารถข้ามขั้นตอนในการยืนยันตัวตน (Bypass authentication) และสามารถเข้าถึงข้อมูลที่ถูกควบคุมไว้ได้บน Ivanti gateways เวอร์ชัน 9.x และ 22.x

การอัปเดตที่สามารถแก้ไขช่องโหว่นี้ได้คือ Ivanti Connect Secure เวอร์ชัน 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 และ 22.5R2.2, Ivanti Policy Secure เวอร์ชัน 22.5R1.1 และ ZTA เวอร์ชัน 22.6R1.3

ในวันที่ 5 กุมภาพันธ์ 2024 Shadowserver ผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ออกมารายงานว่า พบกลุ่มแฮ็กเกอร์หลายกลุ่มพยายามที่จะโจมตีโดยใช้ช่องโหว่นี้ โดยที่บางกลุ่มใช้ PoC หรือ proof-of-concept ซึ่งถูกเปิดเผยโดย Rapid7 ในการโจมตี ทั้งนี้ยังไม่มีรายงานในส่วนของอัตราความสำเร็จของการโจมตี ณ ช่วงเวลานั้น

รายงานฉบับใหม่จาก Orange Cyberdefense ออกมายืนยันถึงความสำเร็จของการโจมตีช่องโหว่ CVE-2024-21893 สำหรับการติดตั้ง backdoor ตัวใหม่ที่มีชื่อว่า DSLog ซึ่งทำให้กลุ่มแฮ็กเกอร์สามารถ execute คำสั่งจากระยะไกล บนเครื่อง Ivanti เซิร์ฟเวอร์ที่ถูกโจมตีได้

Orange ยังระบุเพิ่มเติมว่าสังเกตพบ backdoor ตัวใหม่นี้ในครั้งแรก ตั้งแต่วันที่ 3 กุมภาพันธ์ 2024 หลังจากวิเคราะห์ อุปกรณ์ที่ถูกโจมตี ซึ่งได้ดำเนินการลดผลกระทบด้วย XML mitigation ตามที่ Ivanti แนะนำ (บล็อก API endpoints ทั้งหมด) แต่ยังไม่ได้อัปเดตแพตซ์

DSLog backdoor

จากการตรวจสอบ Log บนอุปกรณ์ Ivanti ที่ถูกโจมตีแล้วนั้น กลุ่มนักวิจัยจาก Orange พบ backdoor ถูกป้อนคำสั่งเพิ่มเติมใส่ code บนอุปกรณ์ โดยการขอยืนยันตัวตนผ่าน SAML ซึ่งประกอบด้วยหลายคำสั่งภายในที่ถูก encoded ไว้แล้ว

ซึ่งคำสั่งเหล่านี้นั้นสามารถถูกเรียกใช้งานเพื่อเปิดเผยข้อมูลของระบบภายใน และทำให้สามารถเข้าถึงไฟล์ได้จากภายนอก (index2.txt) แสดงให้เห็นว่าจุดประสงค์ของแฮ็กเกอร์คือการเก็บ และรวบรวมข้อมูลภายในก่อนการโจมตี และยืนยันได้ว่าถูกเข้าถึงสิทธิ์ Root แล้ว

ภายใต้คำสั่งผ่านระบบ SAML นั้นแสดงให้เห็นถึงการพยายามที่จะรักษาความปลอดภัยสิทธิ์การอ่าน/เขียนระบบไฟล์บนอุปกรณ์ที่ถูกโจมตี, การตรวจจับการแก้ไข logging script อย่างถูกต้อง (DSLog.