CVE-2024-8190: как злоумышленник взломал сеть и заперся в ней изнутри

CVE-2024-8190: как злоумышленник взломал сеть и заперся в ней изнутри

FortiGuard Labs продолжают расследование загадочного инцидента.

image

В середине сентября этого года исследователи FortiGuard Labs выявили атаку, при которой неизвестный злоумышленник воспользовался уязвимостями в облачном сервисе Cloud Services Appliance (CSA) от Ivanti. Одна из трёх обнаруженных уязвимостей уже была известна как CVE-2024-8190, однако две другие оставались нераскрытыми до начала расследования.

Хакер получил доступ к системе 4 сентября 2024 года, использовав уязвимость обхода путей в файле «/client/index.php» и командную инъекцию в файле «reports.php». Это позволило без авторизации извлечь данные о пользователях, а также запустить вредоносные команды, что дало возможность получить дальнейший доступ к системам жертвы.

11 сентября злоумышленник приступил к атаке на пароли пользователей, использовав брутфорс. После получения доступа к привилегированным учётным записям он установил веб-шеллы и продолжил эксплуатировать уязвимые файлы. При этом, что примечательно — чтобы предотвратить вмешательство других хакеров , он сам «залатал» обнаруженные уязвимости.

На момент публикации компания Ivanti выпустила патч для уязвимости CVE-2024-8190, однако другие уязвимости в CSA до сих пор остаются потенциальной угрозой для пользователей. FortiGuard Labs продолжают анализировать действия данной киберпреступной ячейки и обещают опубликовать дополнительную информацию в последующих отчётах.

Анализ трафика 2025: какие угрозы уже на пороге?

На вебинаре расскажем, как современные технологии помогают экономить ресурсы и усиливают защиту компании.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887