Agencias de seguridad de varios países advierten que los atacantes pudieron engañar a las herramientas de verificación de integridad proporcionadas por Ivanti en respuesta a los recientes ataques explotando vulnerabilidades de día cero en sus puertas de enlace Connect Secure y Policy Secure. La agencia también identificó una técnica en un laboratorio que podría usarse para lograr la persistencia del malware en los dispositivos Ivanti a pesar de los restablecimientos de fábrica.
«Las organizaciones autoras instan encarecidamente a todas las organizaciones a considerar el riesgo significativo del acceso y la persistencia de un adversario en las puertas de enlace Ivanti Connect Secure e Ivanti Policy Secure al determinar si continúan operando estos dispositivos en un entorno empresarial», informó la Oficina de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Agencia (CISA) dijo en un aviso en coautoría con la Oficina Federal de Investigaciones (FBI) de EE. UU., la Dirección de Señales de Australia, el Centro Nacional de Seguridad Cibernética del Reino Unido, el Establecimiento de Seguridad de las Comunicaciones (CSE) de Canadá y el Centro Nacional de Seguridad Cibernética de Nueva Zelanda.
Ivanti respondió al lanzar una versión mejorada de su herramienta de verificación de integridad externa (TIC) y dijo que cree que la técnica de persistencia ideada por CISA en su laboratorio no funcionaría en un entorno de cliente en vivo porque los atacantes perderían su conexión con el dispositivo.
El verificador de integridad no pudo detectar compromisos en algunos casos
CISA identificó durante múltiples compromisos de respuesta a incidentes que las herramientas de verificación de integridad internas y externas proporcionadas por Ivanti no lograron detectar los compromisos existentes. Estas son herramientas que verifican áreas importantes del sistema de archivos en busca de modificaciones y signos conocidos que podrían indicar un ataque.
Sin embargo, dado que estas herramientas se ejecutan periódicamente y no de forma continua (la interna verifica cada dos horas), los autores de malware podrían intentar evadir la detección activando su malware entre análisis. Esto es exactamente lo que la empresa de respuesta a incidentes Mandiant ha observado en ataques limitados perpetrados por un grupo APT con sede en China al que rastrea como UNC5325. Este grupo comenzó a explotar la vulnerabilidad CVE-2024-21893 horas después de que Ivanti la revelara públicamente el 31 de enero y mostrara un alto nivel de conocimiento y familiaridad con el funcionamiento interno de las puertas de enlace VPN SSL de Ivanti, lo que sugiere que ha realizado ingeniería inversa en estos dispositivos.
“En particular, Mandiant ha identificado UNC5325 utilizando una combinación de técnicas de vida de la tierra (LotL) para evadir mejor la detección, mientras implementa malware novedoso como LITTLELAMB.WOOLTEA en un intento de persistir en actualizaciones del sistema, parches y restablecimientos de fábrica. ”, dijo la compañía en un informe esta semana.
Uno de los implantes implementados por UNC5325 es un shell web (una puerta trasera de acceso remoto basada en web) denominado BUSHWALK que está escrito en Perl e integrado en un componente legítimo de Ivanti Connect Secure llamado querymanifest.cgi. En los ataques más recientes, el grupo utilizó una nueva variante de este shell y una técnica que les permitió habilitarlo y deshabilitarlo según la cadena de agente de usuario especificada en las solicitudes enviadas al shell.