Un recente attacco informatico ha messo in luce la pericolosità delle vulnerabilità presenti nei dispositivi Ivanti Cloud Service Appliance (CSA). Un sospetto attore statale ha sfruttato tre falle di sicurezza per infiltrarsi nelle reti target, come riportato dai laboratori Fortinet FortiGuard. Queste vulnerabilità zero-day sono state utilizzate per ottenere accesso non autenticato al CSA, enumerare gli utenti configurati e tentare di accedere alle loro credenziali. Le falle identificate includono CVE-2024-8190, una vulnerabilità di iniezione di comandi nel percorso /gsb/DateTimeTab.php, CVE-2024-8963, una vulnerabilità di attraversamento di percorso su /client/index.php, e CVE-2024-9380, un'iniezione di comandi autenticata su reports.php.

Nella fase successiva dell'attacco, le credenziali sottratte associate agli account gsbadmin e admin sono state utilizzate per eseguire un exploit autenticato, rilasciando una web shell chiamata "help.php". Curiosamente, il 10 settembre 2024, quando Ivanti ha pubblicato un avviso per CVE-2024-8190, gli attaccanti hanno 'corretto' le vulnerabilità di iniezione di comandi nei file /gsb/DateTimeTab.php e /gsb/reports.php, rendendole inaccessibili. Questo comportamento non è nuovo: in passato, gli aggressori hanno chiuso le vulnerabilità dopo averle sfruttate per impedire ad altri intrusi di accedere ai beni vulnerabili e interferire con le loro operazioni.

Gli aggressori hanno anche sfruttato CVE-2024-29824, una falla critica che impatta Ivanti Endpoint Manager (EPM), abilitando la procedura memorizzata xp_cmdshell per eseguire codice remoto. Questa vulnerabilità è stata inserita nel catalogo delle vulnerabilità note sfruttate (KEV) dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti nella prima settimana di ottobre 2024. Altre attività hanno incluso la creazione di un nuovo utente chiamato mssqlsvc, l'esecuzione di comandi di ricognizione, l'esfiltrazione dei risultati tramite tunneling DNS utilizzando codice PowerShell e il proxy del traffico attraverso l'appliance CSA grazie a uno strumento open-source chiamato ReverseSocks5.

Un altro elemento critico dell'attacco è stato il deployment di un rootkit sotto forma di un oggetto del kernel Linux chiamato "sysinitd.ko" sul dispositivo CSA compromesso, rilevato il 7 settembre 2024. Questo rootkit permette agli attaccanti di mantenere la persistenza a livello di kernel sul dispositivo CSA, una condizione che potrebbe sopravvivere anche a un reset di fabbrica. Le attività di questo tipo dimostrano quanto sia cruciale per le organizzazioni mantenere aggiornate le loro infrastrutture e applicare tempestivamente le patch di sicurezza per prevenire tali intrusioni.