CVE-2024-21893: уязвимость в Ivanti VPN открыла хакерам портал в системы по всему миру

Две хакерские группировки из Китая, известные как UNC5325 и UNC3886, взломали системы безопасности ПО от компании Ivanti, которое используется для защиты виртуальных частных сетей (VPN). Эксперты компании Mandiant обнаружили, что UNC5325 эксплуатировала уязвимость CVE-2024-21893 в продуктах Ivanti для получения доступа к системам и установки вредоносного софта.

CVE-2024-21893 представляет собой "подделку запроса со стороны сервера" (SSRF). Она присутствует в компоненте SAML продуктов компании Ivanti - Connect Secure, Policy Secure и Neurons for ZTA. В ходе атак злоумышленники нацеливались на ограниченное число устройств.

Для проникновения в сети компаний хакеры комбинировали эту уязвимость с другой (CVE-2024-21887), чтобы скрытно обойти механизмы защиты. Затем были задействованы легитимные компоненты для загрузки вредоносных программ, позволяющих удаленно управлять зараженными компьютерами, красть данные и туннелировать трафик.

Группировка UNC3886 ранее использовала похожие методы, эксплуатируя 0-day уязвимости в ПО Fortinet и VMware для атак на организации в США и Азиатско-Тихоокеанском регионе.

Как показал анализ Mandiant, UNC5325 демонстрирует глубокие знания продуктов Ivanti и умело маскирует свою деятельность. Злоумышленники активно применяют тактику "жизнь за счет земли" (LotL или LOTL), внедряя вредоносные модули в легитимные инструменты.

Хакеры пытались закрепиться во взломанных сетях, но пока эти попытки провалились из-за ошибок в коде зловредного ПО.

Использовался вредоносный плагин PITFUEL для загрузки программы LITTLELAMB.WOOLTEA, которая может сохранять присутствие в системе после обновлений, патчей и сброса к заводским настройкам.

Однако в LITTLELAMB.WOOLTEA не была предусмотрена логика для обработки несовпадения ключей шифрования. Другой плагин PITDOG применяется для инжектирования программы PITHOOK, которая также предназначена для постоянного присутствия.

Компаниям рекомендуют регулярно обновлять сетевое ПО и использовать надежные средства безопасности, чтобы вовремя выявлять подозрительную активность, в том числе связанную с группировками UNC5325 и UNC3886.