Eksperci ds. bezpieczeństwa zwracają uwagę na alarmujący wzrost ataków opartych na dniach zerowych w systemach Ivanti Connect Secure VPN i Policy Secure. W wyniku skoordynowanej serii ataków od grudnia, badacze firmy Volexity odkryli wykorzystanie luk w zabezpieczeniach o numerach CVE-2023-46805 i CVE-2024-21887. Ta groźna kombinacja stanowi potencjalne zagrożenie dla firm na całym świecie, obejmując zarówno małe przedsiębiorstwa, jak i globalne korporacje, w tym te z prestiżowej listy Fortune 500.
Napastnicy, korzystając z wariantu powłoki internetowej GIFTEDVISITOR, skutecznie zhakowali ponad 1700 urządzeń ICS VPN, a ich zasięg obejmuje różne branże i sektory. Firma Volexity podkreśla, że ofiary ataków są rozproszone globalnie, co wskazuje na złożoność i zakres działań przestępczych.
Brak poprawek od Ivanti: pilne wezwanie do środków ostrożności
W sytuacji aktywnego wykorzystywania dni zerowych, firma Ivanti nie dostarczyła jeszcze konkretnych poprawek. Administratorom sieci VPN ICS zaleca się niezwłoczne wdrożenie środków łagodzących, udostępnionych przez dostawcę, w celu zminimalizowania ryzyka dalszych ataków. Narzędzie Integrity Checker Tool, sugerowane przez Volexity, ma pomóc w ocenie poziomu zagrożenia i podjęciu odpowiednich działań.
Eskalacja ataków i nowe grupy cyberprzestępcze
Ataki oparte na dniach zerowych CVE-2023-46805 i CVE-2024-21887 zdają się przybierać na sile, obejmując różnorodne sektory przemysłowe. Grupa cyberprzestępcza UTA0178, wcześniej podejrzewana o wspieranie ataków, obecnie dołącza do innych ugrupowań, co wzmaga obawy przed rozprzestrzenieniem się zagrożeń.
Firma Mandiant ujawnia, że eksperci ds. bezpieczeństwa odkryli pięć niestandardowych odmian złośliwego oprogramowania używanych w atakach. Narzędzia te, takie jak backdoor Zipline, dropper Thinspool, powłoki Wirefire i Lightwire, oraz narzędzia do zbierania danych uwierzytelniających, dodają nowy wymiar złożoności i skuteczności ataków.
Historia Ataków z Użyciem Dni Zerowych
Warto przywołać wcześniejsze przypadki wykorzystania dni zerowych przez chińskie grupy hakerskie, zwłaszcza CVE-2021-22893 w ICS. Również w poprzednich latach, dni zerowe (CVE-2023-35078 i CVE-2023-35081) w Ivanti Endpoint Manager Mobile oraz CVE-2023-38035 w oprogramowaniu Sentry aktywnie wykorzystywane były w atakach na instytucje rządowe i organizacje.
Ostrzeżenia przed kolejnymi atakami oraz konieczność stałego monitorowania sytuacji są kluczowymi elementami dla skutecznej ochrony przed rosnącymi zagrożeniami cyberprzestępczymi. Administracja sieciami powinna nie tylko zastosować środki bezpieczeństwa, ale także być gotowa na ewentualne poprawki i rozwijające się strategie atakujących.
