Тихий убийца DSLog: 670+ ИТ-систем заражены без единого выстрела

Хакеры используют уязвимость типа SSRF (Server-Side Request Forgery) в продуктах Ivanti Connect Secure (ICS), Policy Secure (IPS) и ZTA для развертывания нового бэкдора DSLog на уязвимых устройствах.

Ошибка CVE-2024-21893 (оценка CVSS: 8.2) была обнародована 31 января и описывается как «активно эксплуатируемая уязвимость нулевого дня». После обнаружения компания Ivanti предоставила обновления безопасности и рекомендации по смягчению последствий.

Уязвимость затрагивает компонент SAML указанных продуктов и позволяет атакующим обойти аутентификацию и получить доступ к ограниченным ресурсам на шлюзах Ivanti, работающих на версиях 9.x и 22.x. Для устранения проблемы были выпущены обновления:

• Ivanti Connect Secure версий 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 и 22.5R2.2;
• Ivanti Policy Secure версии 22.5R1.1;
• ZTA версии 22.6R1.3.

5 февраля 2024 года служба мониторинга угроз Shadowserver сообщила о множественных попытках хакеров использовать уязвимость (441 попытка), в том числе с применением ранее опубликованных доказательств концепции (PoC) эксплойтов от Rapid7, при этом успех попыток на тот момент оставался неизвестным.

В новом отчете Orange Cyberdefense подтверждается успешное использование CVE-2024-21893 для установки нового бэкдора под названием DSLog, который позволяет злоумышленникам удаленно выполнять команды на скомпрометированных серверах Ivanti. Первое обнаружение бэкдора датируется 3 февраля 2024 года после анализа скомпрометированного устройства, на котором было реализовано предложенное Ivanti средство защиты от XML (блокировка всех конечных точек API), но исправление не было применено.

Бэкдор DSLog был внедрен в кодовую базу устройства Ivanti путем отправки запросов аутентификации SAML, содержащих закодированные команды. Команды выполняли такие операции, как вывод информации о системе в общедоступный файл (index2.txt), что указывает на то, что злоумышленники стремились провести внутреннюю разведку и подтвердить свой root-доступ.

Атакующие использовали уникальный хэш SHA256 для каждого устройства в качестве API-ключа, требуя этот хэш в заголовке HTTP User-Agent для выполнения команд. Orange Cyberdefense поясняет, что бэкдор DSLog может выполнять «любые команды» на скомпрометированном устройстве, получаемые через HTTP-запросы от атакующих, причем команда включена в параметр запроса с именем «cdi». HTTP-запросы содержат специальный хэш SHA256, соответствующий затронутому устройству, который служит ключом для аутентификации запроса к бэкдору.

Исследователи отмечают, что из-за того, что веб-шелл не возвращает статус/код при попытке связи, он особенно скрытен. Orange также не смогла определить схему, используемую для расчета хэша SHA256, и отметила, что журналы «.access» были стерты на нескольких скомпрометированных устройствах для скрытия действий атакующих.

Тем не менее, исследователям удалось обнаружить почти 700 скомпрометированных серверов Ivanti, проанализировав другие артефакты, такие как текстовые файлы «index» в директории «hxxp://{ip}/dana-na/imgs/». Примерно 20% конечных точек уже пострадали от предыдущих кампаний, в то время как остальные оказались уязвимыми из-за отсутствия дополнительных исправлений или мер по смягчению последствий.

Напомним, что недавно Ivanti предупредила клиентов о новой уязвимости обхода аутентификации CVE-2024-22024 (оценка CVSS: 8.3), затрагивающей шлюзы Connect Secure (ICS), Policy Secure (IPS) и ZTA, призвав администраторов немедленно защитить свои устройства.

Уязвимость была выявлена в ходе внутреннего обзора, проведенного компанией в рамках продолжающегося расследования множества недостатков в продуктах, обнаруженных с начала года. В конце январе Ivanti выпустила ряд исправлений для уязвимых шлюзов ICS и IPS. Однако параллельно в компании обнаружили ещё две новых уязвимости нулевого дня (zero-day), в числе которых CVE-2024-21893.