CVE-2024-8190: как злоумышленник взломал сеть и заперся в ней изнутри

В середине сентября этого года исследователи FortiGuard Labs выявили атаку, при которой неизвестный злоумышленник воспользовался уязвимостями в облачном сервисе Cloud Services Appliance (CSA) от Ivanti. Одна из трёх обнаруженных уязвимостей уже была известна как CVE-2024-8190, однако две другие оставались нераскрытыми до начала расследования.

Хакер получил доступ к системе 4 сентября 2024 года, использовав уязвимость обхода путей в файле «/client/index.php» и командную инъекцию в файле «reports.php». Это позволило без авторизации извлечь данные о пользователях, а также запустить вредоносные команды, что дало возможность получить дальнейший доступ к системам жертвы.

11 сентября злоумышленник приступил к атаке на пароли пользователей, использовав брутфорс. После получения доступа к привилегированным учётным записям он установил веб-шеллы и продолжил эксплуатировать уязвимые файлы. При этом, что примечательно — чтобы предотвратить вмешательство других хакеров , он сам «залатал» обнаруженные уязвимости.

На момент публикации компания Ivanti выпустила патч для уязвимости CVE-2024-8190, однако другие уязвимости в CSA до сих пор остаются потенциальной угрозой для пользователей. FortiGuard Labs продолжают анализировать действия данной киберпреступной ячейки и обещают опубликовать дополнительную информацию в последующих отчётах.