Security Week 2406: множество уязвимостей в VPN-сервере Ivanti

Security Week 2406: множество уязвимостей в VPN-сервере Ivanti
1 февраля компания Ivanti объявила о закрытии нескольких уязвимостей в продуктах Ivanti Connect Secure и Ivanti Policy Secure. Это была бы рутинная новость, если бы не сложности, с которыми столкнулся разработчик этого решения для удаленного доступа к корпоративным ресурсам. Между тем две уязвимости на момент обнаружения в декабре прошлого года уже активно эксплуатировались. Для VPN-сервера, по определению доступного в сети, это особенно опасная ситуация. С момента, когда информация о серьезных проблемах в Connect Secure была обнародована, и до выпуска полноценного патча прошло почти три недели.


Проблемы с подготовкой патча привели к тому, что за день до выпуска обновленных версий, 31 января, американское агентство по информационной безопасности CISA выпустило директиву (актуальную, соответственно, для американских же государственных органов), в которой потребовало отключить уязвимые решения. Это достаточно нестандартная мера. Для американского разработчика ПО данный инцидент стал серьезной проверкой на способность защитить своих клиентов. Причем это уже второй инцидент с эксплуатируемой и крайне серьезной уязвимостью в продуктах Ivanti, предыдущий был в августе 2023 года.

Уязвимости в Ivanti Connect Secure и Policy Secure обнаружила в первой половине декабря 2023 года компания Volexity. У одного из клиентов была замечена подозрительная активность в корпоративной сети. В результате оказались идентифицированы две уязвимости в VPN-сервере: CVE-2023-46805 и CVE-2024-21887. По шкале CVSS они имеют уровень опасности соответственно 8,2 и 9,1 балла из 10 возможных. Первая уязвимость позволяет обойти протокол аутентификации, вторая — выполнить произвольную команду. Эти две уязвимости используются в паре: выполнение произвольных команд требует прав администратора, которые добываются с помощью уязвимости в системе аутентификации.

Параллельно с отчетом Volexity информация об уязвимостях была опубликована на сайте Ivanti 10 января. Тогда же был обещан выпуск патча не позднее 22 января. Вместо этого 22 января была опубликована информация о еще двух уязвимостях: CVE-2024-21888 и CVE-2024-21893. Первая обеспечивает повышение привилегий, вторая открывает доступ к ряду ресурсов VPN-сервера без аутентификации (и является уязвимостью типа Server-Side Request Forgery, подробнее здесь ). Судя по отчетам Volexity и Mandiant ( 1 , 2 ), атакующие после успешного взлома сервера устанавливали веб-шелл и начинали активное изучение корпоративных ресурсов жертвы.

Как сообщает сам разработчик ПО, на момент публикации данных об уязвимостях 10 января были взломаны VPN-серверы 20 клиентов компании. После 10 января количество атак значительно увеличилось. В отсутствие патча клиентам было предложено временное решение, судя по всему, блокирующее ряд функций Connect Secure и затрудняющее эксплуатацию уязвимостей. Как минимум часть этих временных мер атакующим (по данным компании Mandiant) удалось обойти. Поскольку исключить компрометацию сервера на момент применения «заплатки» было невозможно, производитель рекомендовал применять ее после переустановки ПО с нуля. Единственным положительным моментом было то, что утилита Integrity Checking Tool от производителя позволяла выявить подозрительные модификации VPN-сервера и таким образом убедиться в факте взлома.

Что касается директивы американского агентства CISA, то первоначально агентство потребовало от американских госорганов не позднее 22 января отчитаться об установке патча. Когда выпуск патча был задержан, последовала упомянутая в начале статьи директива: сначала выключить VPN-сервер и уже потом заниматься его апгрейдом, переустановкой и прочим. И включать его только после выполнения ряда проверок. Все это принесло немало проблем клиентам Ivanti. Последовательность необходимых действий была примерно такая: нужно было экспортировать настройки сервера, переустановить его с нуля, вернуть настройки, установить временную «заплатку» в виде предоставленного вендором XML-файла, а позднее (когда выпустили патч) удалить заплатку, переустановить сервер, установить патч. И все это параллельно с попытками определить, добрались ли до корпоративной инфраструктуры организаторы атаки или нет.

Что еще произошло

Свежий отчет компании Cloudflare рассказывает о частичной компрометации инфраструктуры, которая произошла еще в ноябре 2023 года. Этот документ — развитие сюжета, начавшегося со взлома компании Okta, которой принадлежит сервис аутентификации пользователей. В прошлом году кейс Cloudflare выглядел наиболее успешным. Хотя взлом Okta и предоставил злоумышленникам доступ к инфраструктуре ряда клиентов, у Cloudflare в процессе аутентификации были задействованы аппаратные ключи. Эта дополнительная мера привела к тому, что попытки взломать инфраструктуру Cloudflare оказались тщетными. Но, как выяснилось, не совсем. Ряд утекших токенов в Cloudflare забыли обновить, и из-за этого недосмотра был получен доступ к внутренней Wiki на базе Atlassian Confluence и багтрекеру в Jira. В течение недели организатор атаки искал в доступных документах информацию о работе сервисов Cloudflare и ключи доступа к более чувствительным ресурсам. Но, как утверждает компания, ничего не нашел. Эта публикация наглядно демонстрирует сложность в полной оценке последствий компрометации корпоративной инфраструктуры.

А вот и свежий инцидент с пока непонятными последствиями: компания Anydesk сообщила о взломе и, помимо других мер, превентивно обновила ключи для подписи ПО. Хотя разработчик популярного ПО для удаленного доступа к ПК и серверам утверждает, что пользователи вне опасности, клиентам рекомендуется обновиться до последней версии ПО (старые сертификаты скоро будут отозваны) и сменить пароли доступа.

Здесь опубликованы интересные фото и примеры использования так называемого Apple Security Research Device. Это по сути iPhone с официальным джейлбрейком , который компания рассылает проверенным исследователям безопасности. И это первый случай, когда Apple использует термин «jailbreak» в позитивном ключе, как инструмент для поиска уязвимостей в программном обеспечении.

Издание 404media сообщает , что исходный код вместе с техническими документами и даже паролями доступа к инфраструктуре криптобиржи Binance в течение нескольких месяцев был доступен всем желающим на Github.

На прошлой неделе на черном рынке была выставлена на продажу база данных клиентов компании Europcar, предоставляющей услуги проката автомобилей. Компания утверждает, что эта «утечка» полностью поддельная и скорее всего была сгенерирована при помощи сервиса ChatGPT или подобного. В качестве аргумента говорится о том, что в базе данных обнаружено множество несуществующих адресов. Если это действительно так, то мы имеем дело с достаточно свежим феноменом «фейковых утечек», генерируемых для нанесения ущерба репутации компании без факта взлома.

В библиотеке glibc обнаружена уязвимость , существующая там как минимум с 1992 года.

Уязвимость в сервере Mastodon позволяет перехватывать контроль над учетными записями в этой распределенной соцсети.
ivanti connect secure
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!