Ivanti แก้ไขช่องโหว่ร้ายแรง ใน Standalone Sentry ที่ถูกรายงานโดย NATO

Ivanti ได้เผยแพร่รายงานการแก้ไขช่องโหว่ Standalone Sentry ที่มีความรุนแรงระดับสูง ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยของ NATO Cyber Security Center

(more…)

CISA แจ้งเตือนห้ามใช้ Ivanti VPN gateways ที่ถูกโจมตี แม้ว่าจะทำการ factory reset แล้วก็ตาม

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA แจ้งเตือนผู้ใช้งานอุปกรณ์ Ivanti VPN ว่าอุปกรณ์ Ivanti VPN ที่ถูกโจมตีจากช่องโหว่ อาจมีความเสี่ยงในการแฝงตัวของสิทธิ์ root ถึงแม้ว่าจะทำการ factory reset บนอุปกรณ์แล้วก็ตาม รวมถึงสามารถหลีกเลี่ยงการตรวจจับจาก Ivanti internal และ external Integrity Checker Tool (ICT) บน Ivanti Connect Secure และ Policy Secure gateway ที่ถูกโจมตี ซึ่งใช้ช่องโหว่เหล่านี้ CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 และ CVE-2024 -21893

โดยช่องโหว่ทั้ง 4 รายการนี้ มีระดับความรุนแรงตั้งแต่ High จนถึงระดับ Critical ซึ่งมีความสามารถในการโจมตีในรูปแบบต่าง ๆ เช่น authentication bypass, command injection, server-side-request forgery และ arbitrary command execution

ทั้งนี้ CISA พบว่า Ivanti ICT ไม่สามารถตรวจจับเหตุการณ์การโจมตีหลายครั้งที่เกี่ยวข้องกับอุปกรณ์ Ivanti ที่มีช่องโหว่ เนื่องจาก Web Shell ที่พบในระบบไม่มีไฟล์ที่ไม่ตรงกันตามข้อมูลของ Ivanti ICT

รวมถึงจากการตรวจสอบของทีม forensic พบว่า Hacker ได้ทำการปกปิดการโจมตีด้วยการเขียนทับไฟล์ การหยุดการทำงานไฟล์ และติดตั้ง runtime partition ใหม่ เพื่อเรียกคืนค่าอุปกรณ์ที่ถูกโจมตีให้เป็น "clean state"

ซึ่งแสดงให้เห็นว่า Ivanti ICT ไม่น่าเชื่อถือในการตรวจจับการโจมตีจากช่องโหว่ก่อนหน้านี้ หลังจากนั้นทาง Ivanti ได้ทำการอัปเดตเพื่อแก้ไขปัญหาที่พบใน Ivanti ICT
โดย CISA ได้ให้คำแนะนำแก่หน่วยงานของรัฐบาลกลางเกี่ยวกับวิธีการดำเนินการหลังจากค้นพบสัญญาณของการโจมตีในอุปกรณ์ Ivanti VPN บนเครือข่ายดังนี้

ระบุข้อมูลบัญชีผู้ใช้ และบัญชีอื่น ๆ ที่อยู่ในอุปกรณ์ Ivanti VPN ที่มีแนวโน้มว่าจะถูกโจมตี
ค้นหาพฤติกรรมที่เป็นอันตรายบนเครือข่าย โดยใช้วิธีการตรวจจับจาก indicators of compromise (IOC) ตามรายงาน
ใช้งาน ICT ตัวอัปเดตล่าสุดของ Ivanti
ทำตามคำแนะนำในการอัปเดตแพตช์ เมื่อมีการอัปเดตเวอร์ชันของ Ivanti รวมถึงหากตรวจพบการโจมตีที่อาจเกิดขึ้นในองค์กร ควรรวบรวม และวิเคราะห์ log และ artifacts ที่เป็นอันตราย และทำตามคำแนะนำในการตอบสนองต่อเหตุการณ์ตามรายงาน

CISA แจ้งเตือนถึงความเสี่ยงที่มีความสำคัญ

โดยทาง Ivanti ได้ออกมาชี้แจงกรณีที่ CISA ได้รายงานว่าพบ Hacker พยายามเข้าถึงอุปกรณ์ Ivanti จากระยะไกล และแฝงตัวในระบบ ซึ่ง Ivanti ระบุว่าหาก Hacker ทำการโจมตีด้วยวิธีการที่ CISA รายงานจะไม่สามารถเชื่อมต่อกับอุปกรณ์ Ivanti Connect Secure ได้

แต่อย่างไรก็ตามทาง CISA ก็ยังแนะนำให้ผู้ใช้งานอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure gateway ที่ได้รับผลกระทบ ให้พิจารณาว่าจะใช้งานอุปกรณ์เหล่านี้ต่อไปในระบบเครือข่ายขององค์กรหรือไม่ เนื่องจาก CISA ยังมีความเป็นห่วงเรื่องความปลอดภัยของอุปกรณ์ Ivanti Connect Secure และ Ivanti Policy Secure ที่ถูกโจมตีก่อนหน้านี้ แม้ว่าจะทำการ cleaning และทำการ factory reset แล้วก็ตาม

ในวันที่ 1 กุมภาพันธ์ 2024 CISA ได้สั่งให้หน่วยงานรัฐบาลกลางทั้งหมดทำการยกเลิกการเชื่อมต่อ Ivanti Connect Secure และ Ivanti Policy Secure ทั้งหมดจากเครือข่ายภายใน 48 ชั่วโมง เพื่อตอบสนองต่อภัยคุกคามที่สำคัญ และความเสี่ยงที่เพิ่มขึ้นของการโจมตีที่เกิดจากอุปกรณ์ Ivanti VPN ที่ถูกโจมตีช่องโหว่

โดยหน่วยงานได้รับคำสั่งให้ทำการ factory reset และอัปเดตให้เป็นเวอร์ชันใหม่ที่ได้รับการแก้ไขช่องโหว่แล้ว จากนั้นจึงนำ Configuration ที่ backup ไว้กลับมาใช้อีกครั้ง และเพิกถอน certificates, keys และรหัสผ่านที่เชื่อมต่อทั้งหมด เพื่อให้สามารถนำอุปกรณ์ที่ถูก isolate กลับมาได้ใช้งานต่อ

รวมถึงหน่วยงานที่พบว่าผลิตภัณฑ์ Ivanti ที่ใช้งานได้ถูกโจมตีบนเครือข่ายไปแล้ว ได้รับคำสั่งให้สันนิษฐานว่าบัญชีบนโดเมนที่มีการเชื่อมโยงทั้งหมดถูกโจมตีไปแล้ว โดยมีคำสั่งให้ปิดการใช้งานอุปกรณ์ที่เชื่อมต่อ/ลงทะเบียน (cloud environment) หรือทำการรีเซ็ตรหัสผ่านสำหรับทุกบัญชี และเพิกถอน Kerberos ticker และ cloud tokens (hybrid setup)

ที่มา : bleepingcomputer.

กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ server-side request forgery (SSRF) บน Ivanti Connect Secure, Policy Secure และ ZTA gateways ในการติดตั้ง DSLog backdoor ใหม่บนอุปกรณ์เหยื่อ

ช่องโหว่นี้มีหมายเลข CVE-2024-21893 ถูกเปิดเผยครั้งแรกในรูปแบบ Zero-Day ที่กำลังถูกใช้ในการโจมตีในวันที่ 31 มกราคม 2024 พร้อม ๆ กับการอัปเดตความปลอดภัย และวิธีการรับมือกับภัยคุกคามจาก Ivanti

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ SAML component (Security Assertion Markup Language) ซึ่งทำให้แฮ็กเกอร์สามารถข้ามขั้นตอนในการยืนยันตัวตน (Bypass authentication) และสามารถเข้าถึงข้อมูลที่ถูกควบคุมไว้ได้บน Ivanti gateways เวอร์ชัน 9.x และ 22.x

การอัปเดตที่สามารถแก้ไขช่องโหว่นี้ได้คือ Ivanti Connect Secure เวอร์ชัน 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 และ 22.5R2.2, Ivanti Policy Secure เวอร์ชัน 22.5R1.1 และ ZTA เวอร์ชัน 22.6R1.3

ในวันที่ 5 กุมภาพันธ์ 2024 Shadowserver ผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ออกมารายงานว่า พบกลุ่มแฮ็กเกอร์หลายกลุ่มพยายามที่จะโจมตีโดยใช้ช่องโหว่นี้ โดยที่บางกลุ่มใช้ PoC หรือ proof-of-concept ซึ่งถูกเปิดเผยโดย Rapid7 ในการโจมตี ทั้งนี้ยังไม่มีรายงานในส่วนของอัตราความสำเร็จของการโจมตี ณ ช่วงเวลานั้น

รายงานฉบับใหม่จาก Orange Cyberdefense ออกมายืนยันถึงความสำเร็จของการโจมตีช่องโหว่ CVE-2024-21893 สำหรับการติดตั้ง backdoor ตัวใหม่ที่มีชื่อว่า DSLog ซึ่งทำให้กลุ่มแฮ็กเกอร์สามารถ execute คำสั่งจากระยะไกล บนเครื่อง Ivanti เซิร์ฟเวอร์ที่ถูกโจมตีได้

Orange ยังระบุเพิ่มเติมว่าสังเกตพบ backdoor ตัวใหม่นี้ในครั้งแรก ตั้งแต่วันที่ 3 กุมภาพันธ์ 2024 หลังจากวิเคราะห์ อุปกรณ์ที่ถูกโจมตี ซึ่งได้ดำเนินการลดผลกระทบด้วย XML mitigation ตามที่ Ivanti แนะนำ (บล็อก API endpoints ทั้งหมด) แต่ยังไม่ได้อัปเดตแพตซ์

DSLog backdoor

จากการตรวจสอบ Log บนอุปกรณ์ Ivanti ที่ถูกโจมตีแล้วนั้น กลุ่มนักวิจัยจาก Orange พบ backdoor ถูกป้อนคำสั่งเพิ่มเติมใส่ code บนอุปกรณ์ โดยการขอยืนยันตัวตนผ่าน SAML ซึ่งประกอบด้วยหลายคำสั่งภายในที่ถูก encoded ไว้แล้ว

ซึ่งคำสั่งเหล่านี้นั้นสามารถถูกเรียกใช้งานเพื่อเปิดเผยข้อมูลของระบบภายใน และทำให้สามารถเข้าถึงไฟล์ได้จากภายนอก (index2.txt) แสดงให้เห็นว่าจุดประสงค์ของแฮ็กเกอร์คือการเก็บ และรวบรวมข้อมูลภายในก่อนการโจมตี และยืนยันได้ว่าถูกเข้าถึงสิทธิ์ Root แล้ว

ภายใต้คำสั่งผ่านระบบ SAML นั้นแสดงให้เห็นถึงการพยายามที่จะรักษาความปลอดภัยสิทธิ์การอ่าน/เขียนระบบไฟล์บนอุปกรณ์ที่ถูกโจมตี, การตรวจจับการแก้ไข logging script อย่างถูกต้อง (DSLog.

Ivanti แจ้งเตือนช่องโหว่ authentication bypass ใหม่ ที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway โดยแนะนำให้ผู้ดูแลระบบทำการอัปเดตเพื่อป้องกันช่องโหว่ทันที

CVE-2024-22024 (คะแนน CVSS 8.3/10 ความรุนแรงระดับ High) เป็นช่องโหว่ XXE (XML eXternal Entities) ใน SAML component ของ gateway ที่ทำให้สามารถเข้าถึงทรัพยากรที่ถูกจำกัดบนอุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล และมีความซับซ้อนในการโจมตีต่ำ รวมถึงไม่ต้องการการโต้ตอบ หรือการยืนยันตัวตนจากผู้ใช้ โดย Ivanti ระบุว่าขณะนี้ยังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าว (more…)

Ivanti แจ้งเตือนช่องโหว่ Zero-Day ใหม่ใน Connect Secure ที่กำลังถูกใช้ในการโจมตี

Ivanti แจ้งเตือนพบช่องโหว่ Zero-Day ใหม่ 2 รายการที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway ซึ่งหนึ่งในช่องโหว่ Zero-Day ดังกล่าวได้ตกเป็นเป้าหมายของการโจมตีอยู่ในปัจจุบัน

(more…)

Cyble Global Sensors ตรวจพบการโจมตีช่องโหว่ของ Ivanti Connect Secure อย่างต่อเนื่อง

 

 

 

 

 

 

 

 

 

 

 

Cyble Global Sensor Intelligence (CGSI) ตรวจพบการโจมตีอย่างต่อเนื่องของช่องโหว่ที่ถูกเปิดเผยออกมาเมื่อเร็ว ๆ นี้ใน Ivanti Connect Secure (ICS) ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Pulse Connect Secure และ Ivanti Policy Secure gateways

Ivanti ได้ออกมาแจ้งเตือนช่องโหว่ด้านความปลอดภัยเมื่อวันที่ 10 มกราคม 2024 เกี่ยวกับช่องโหว่ที่พบใน Ivanti Connect Secure (ICS) ซึ่งแต่เดิมชื่อ Pulse Connect Secure และ Ivanti Policy Secure gateways โดยการแจ้งเตือนระบุถึงช่องโหว่สองรายการ คือ CVE-2023-46805 และ CVE-2024-21887 ซึ่งเมื่อรวมช่องโหว่ทั้งสองรายการเข้าด้วยกัน จะทำให้ผู้ไม่หวังดีที่ไม่ต้องผ่านการยืนยันตัวตน สามารถสร้าง requests ที่เป็นอันตราย ซึ่งนำไปสู่การดำเนินการคำสั่งต่าง ๆ บนระบบได้

โดยในคำแนะนำล่าสุดจาก Cybersecurity and Infrastructure Security Agency (CISA) ก็ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่เหล่านี้

ในวันเดียวกัน Volexity ได้เปิดเผยกรณีที่มีการใช้ช่องโหว่ทั้งสองรายการในการโจมตี ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) บนอุปกรณ์ Ivanti Connect Secure VPN โดยผู้โจมตีใช้ exploits เหล่านี้เพื่อนำข้อมูลการกำหนดค่าออก, แก้ไขไฟล์ที่มีอยู่, ดึงข้อมูลจากระยะไกล, และสร้าง reverse tunnel จาก ICS VPN appliance

นอกจากนี้ยังพบฟอรัมเกี่ยวกับการโจมตีทางไซเบอร์ที่เสนอขาย exploit ระยะเวลา 1 วัน ซึ่งมีราคาการขายอยู่ที่ 30,000 ดอลลาร์สหรัฐ โดยวันที่โพสต์คือ 16 พฤศจิกายน 2023 ซึ่งชี้ให้เห็นถึงความเป็นไปได้ที่ผู้ไม่หวังดีสามารถโจมตีช่องโหว่ได้ก่อนที่ exploit จะถูกเปิดเผยออกสู่สาธารณะ

โดยข้อความล่าสุดบนฟอรัมระบุว่า "ถึงแม้จะมี Proof-of-Concept (PoC) ถูกปล่อยออกมาแล้ว แต่ก็ยังไม่ได้ถูกทดสอบว่าสามารถใช้งานได้จริง" อย่างไรก็ตามปัจจุบันเจ้าของโพสน์ดังกล่าวได้ยกเลิกการขาย exploit แล้ว โดยระบุว่าปัจจุบัน Ivanti ได้ดำเนินการแก้ไขเพื่อลดความเสี่ยงจากช่องโหว่นี้แล้ว

รายละเอียดของช่องโหว่

ช่องโหว่ Ivanti Connect Secure และ Policy Secure Authentication Bypass

- CVE-2023-46805 (CVSS : 8.2 ความรุนแรงระดับสูง) ช่องโหว่ในการ bypass การพิสูจน์ตัวตนใน web component ของ Ivanti ICS 9.x, 22.x, และ Ivanti Policy Secure ทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึงระบบโดยสามารถหลีกเลี่ยงการตรวจจับได้

- เวอร์ชันที่มีช่องโหว่ : Ivanti ICS 9.x, 22.x

ช่องโหว่ Ivanti Connect Secure และ Policy Secure Command Injection

- CVE-2024-21887 (CVSS : 9.1 ระดับความรุนแรง Critical) ช่องโหว่ command injection ใน web component ของ Ivanti Connect Secure (9.x, 22.x) และ Ivanti Policy Secure (9.x, 22.x) ทำให้ผู้ที่ผ่านการพิสูจน์ตัวตนในสิทธิ์ administrator สามารถส่ง requests ที่ถูกสร้างขึ้นเป็นพิเศษ และดำเนินคำสั่งได้ตามที่ต้องการบนอุปกรณ์ได้

- เวอร์ชันที่มีช่องโหว่ : Ivanti ICS 9.x, 22.x

การเปิดเผยข้อมูลของระบบ Ivanti Pulse Secure ที่เกิดขึ้น

ตามรายงานจาก Cyble ODIN scanner พบว่ามี Pulse Secure มากกว่า 10,000 รายการที่เข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา และญี่ปุ่น

 

 

 

 

 

 

 

 

 

 

 

 

 

ข้อมูลทางเทคนิคที่เกี่ยวข้อง

Cyble Global Sensor Intelligence (CGSI) ได้บันทึกความพยายามในการสแกนจำนวนมากที่เกี่ยวข้องกับการใช้ช่องโหว่ที่เพิ่งถูกเปิดเผย และมีผลต่อ Ivanti Pulse Connect Secure โดยช่องโหว่ที่พบเหล่านี้คือ CVE-2023-46805 Authentication Bypass และ CVE-2024-21887 ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล (Remote Command Execution) ได้

CVE-2023-46805 – ช่องโหว่ Authentication Bypass

ตามเอกสารเกี่ยวกับการลดความเสี่ยงของ Ivanti ช่องโหว่มีผลกระทบต่อระบบอัตโนมัติที่มีการใช้ REST APIs สำหรับการกำหนดค่า และการตรวจสอบ นักวิจัยได้เริ่มต้นการสำรวจจากจุดนี้เพื่อทำความเข้าใจช่องโหว่บนระบบ

กระบวนการเริ่มต้นด้วยการค้นหาแพ็กเกจ "restservice" และค้นพบ API endpoints หลายแห่ง ต่อมานักวิจัยใช้ Burp Intruder เพื่อประเมินการเข้าถึงอุปกรณ์ endpoint โดยไม่ต้องมีการพิสูจน์ตัวตน อย่างไรก็ตามพวกเขาสามารถระบุได้เพียงสอง endpoint ที่สามารถเข้าถึงได้โดยไม่ต้องการการพิสูจน์ตัวตน

เพื่อยืนยันการค้นพบนี้ นักวิจัยได้พยายามเข้าถึงผ่าน "/api/v1/totp/user-backup-code" โดยใช้วิธี path traversal ซึ่งทำให้ผู้ไม่หวังดีสามารถไปยังโครงสร้างไดเรกทอรี และเข้าถึงไฟล์ หรือไดเรกทอรีที่ไม่ควรสามารถเข้าถึงได้

โดยผู้ไม่หวังดีจะสามารถเข้าถึงทรัพยากรอื่น ๆ ที่ endpoint และสามารถเริ่มต้นการค้นหาช่องโหว่ command injection ที่เกี่ยวข้องได้ ซึ่งจะทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายได้จากระยะไกล (Remote Code Execution) โดยไม่ต้องผ่านการพิสูจน์ตัวตนได้

CVE-2024-21887 ช่องโหว่ Command Injection

เมื่อสามารถเข้าถึงที่ endpoint ได้ ผู้ไม่หวังดีจะสามารถเริ่มต้นการค้นหาช่องโหว่ command injection ที่เกี่ยวข้องได้

ถัดมาคือการระบุฟังก์ชันซึ่งอนุญาตให้สร้าง child process ด้วย arguments ที่ต้องการ ฟังก์ชันที่มีการเรียกใช้แบบนี้มักจะเป็นที่มาของช่องโหว่ command injection

เพื่อทำให้บรรลุเป้าหมาย นักวิจัยระบุว่าใช้วิธี "get" ในไฟล์ "restservice/api/resources/license.

ผู้ให้บริการซอฟต์แวร์ Ivanti ออกมาแจ้งเตือนช่องโหว่ zero-day ระดับ Critical ที่ส่งผลกระทบต่อ Ivanti Sentry (เดิมคือ MobileIron Sentry) ซึ่งกำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน ซึ่งแสดงให้เห็นถึงความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้น (more…)

Ivanti บริษัทซอฟต์แวร์ด้านไอที ได้เปิดเผยการค้นพบช่องโหว่ใหม่ในซอฟต์แวร์การจัดการอุปกรณ์พกพา MobileIron Core

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-35082 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเข้าถึง API จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ ซึ่งทำให้ Hacker สามารถเข้าถึงข้อมูลส่วนบุคคล (PII) ของผู้ใช้อุปกรณ์มือถือ และเซิร์ฟเวอร์ที่ถูกโจมตีจากช่องโหว่ได้ ผ่านทาง web shell เพื่อเรียกใช้ช่องโหว่อื่น ๆ ในการโจมตีต่อไป ซึ่งส่งผลกระทบต่อ MobileIron Core เวอร์ชัน 11.2 และเก่ากว่า (more…)

Ivanti บริษัทซอฟต์แวร์ในสหรัฐอเมริกา ออกแพตซ์แก้ไขช่องโหว่ Zero-day ซึ่งส่งผลกระทบต่อ Endpoint Manager Mobile (EPMM) หรือซอฟต์แวร์การจัดการอุปกรณ์มือถือ (เดิมชื่อ MobileIron Core)

เมื่อวันอาทิตย์ที่ผ่านมา (23 July 2023) Ivanti ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ CVE-223-35078 สำหรับการเข้าถึง API ที่ไม่ผ่านการตรวจสอบสิทธิ์จากระยะไกล (more…)