Voor het eerst in meer dan twaalf maanden heeft ons CERT een 'Critical' level World Watch Threat Advisory uitgebracht, met betrekking tot een kwetsbaarheid in een reeks Ivanti-producten die actief op grote schaal wordt misbruikt.
Ivanti is een partner van ons en we verkopen en ondersteunen verschillende van hun producten. We werken nauw samen met Ivanti om de gevolgen van deze kwetsbaarheden voor onze klanten te beperken en zijn ervan overtuigd dat het risico snel is verholpen, zonder gevolgen voor onze klanten. Dit blogbericht wordt gepubliceerd in een poging om onze klanten en de markt volledig te informeren over de details van het probleem, zodat we de dreiging zo goed mogelijk kunnen tegengaan.
We delen het onderzoek van ons CERT in een speciale blog over de achterdeur in DSLog.De details vindt je hier.
Voor meer informatie over de ontdekte backdoor in DSLog kunt je hieronder ook het onderzoeksrapport als PDF downloaden!
DSLog Backdoor investigation & IoCs PDF
Op 31 januari 2024 heeft Ivanti fixes uitgebracht om vier kwetsbaarheden te verhelpen, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 en CVE-2024-21893. De laatste twee kwetsbaarheden werden onthuld op de dag van de patchuitgave, samen met een tweede set mitigaties die kunnen worden toegepast als alternatief voor de fixes.
Details over CVE-2024-21893, een Server-Side Request Forgery (SSRF) kwetsbaarheid die van invloed is op de ingebouwde SAML-module, werden snel openbaar gedeeld door beveiligingsonderzoekers van Rapid7 en AssetNote, met een functionele werkende PoC die iedereen kon gebruiken. Binnen enkele uren na het vrijgeven van de PoC identificeerde het Orange Cyberdefense CERT aanvallen die gericht waren op deze SAML-kwetsbaarheid.
Orange Cyberdefense ontdekte dat aanvallers een achterdeur in een component van de Ivanti appliance injecteerden door gebruik te maken van deze SAML kwetsbaarheid, waardoor de aanvaller persisterende toegang op afstand kreeg. De aanvallers hebben ook maatregelen genomen om de toegang tot de achterdeur te controleren.
Je kunt de details van de kwetsbaarheid vinden in twee adviezen die Orange Cyberdefense heeft gepubliceerd (klantaccount vereist om toegang te krijgen tot de inhoud):
Vulnerability Intelligence Watch: https://portal.cert.orangecyberdefense.com/vulns/60095
World Watch: https://portal.cert.orangecyberdefense.com/worldwatch/839001
Pas de nieuwste patch toe, want deze verhelpt de nieuwste kwetsbaarheid, CVE-2024-22024, en de vier eerder onthulde kwetsbaarheden.
Volgens Ivanti beschermt de bestaande XML-mitigatie (mitigation.release.20240126.5.xml) al tegen de exploitatie van CVE-2024-22024 [bron].
Volgens Ivanti is een fabrieksreset niet nodig om CVE-2024-22024 te verhelpen als deze al eerder is uitgevoerd. Bovendien blijven 2 opeenvolgende fabrieksresets zoals we vermeldden niet nodig. Integendeel, we raden sterk aan om de upgrades van 31 januari toe te passen.
Aanvullend onderzoek kan worden uitgevoerd met behulp van de netwerk/host-gebaseerde IOC's (beschikbaar voor onze MTD-klanten via Orange Cyberdefense's Datalake), detectieregels of analyse van verdacht gedrag direct in logs of op het apparaat. Let er ook op hoe apparaten zijn geconfigureerd, omdat ze actief-passief kunnen zijn en/of een cluster van apparaten kunnen omvatten en bepaalde stappen kunnen vereisen om grondig onderzoek te garanderen. We kunnen je helpen om te beoordelen of je instantie inderdaad gecompromitteerd is. Zo ja, neem dan contact op met onze Incident Response hotline.
CISA verzocht overheidsinstanties dringend om al hun apparaten los te koppelen en te resetten [bron]. Ivanti en Mandiant raden nu 2 opeenvolgende upgrades aan [bron], om een mogelijke toekomstige rollback te voorkomen die het apparaat terug zou zetten in zijn vorige "gecompromitteerde" staat. Dit zorgt ervoor dat instanties inderdaad schoon zijn. Deze verregaande oplossing kan ontmoedigend zijn, maar als dat niet het geval is moeten patches prioriteit krijgen, of in ieder geval eerder de mitigerende maatregelen toepassen in plaats van later een fabrieksreset uit te voeren. Een fabrieksreset met volledige patching wordt aanbevolen als een apparaat is gecompromitteerd of als een interessant doelwit in het vizier zou kunnen zijn van de Chinese bedreigingsacteur achter deze 0-days.
Het wordt sterk aanbevolen om het proces van Ivanti te volgen en de nieuwe XML-mitigatie toe te passen of idealiter de patches toe te passen die op 31 januari 2024 zijn uitgebracht [bron]. De patches zijn momenteel beperkt tot een handvol versies, dus als een versie een patch mist, pas dan de XML-mitigatie toe en controleer regelmatig of een specifieke versie in de tussentijd een patch heeft ontvangen.
Scans met de Ivanti Integrity Checker Tool (ICT) zijn niet gegarandeerd volledig accuraat en kunnen mogelijke compromissen missen, maar blijven in veel gevallen de meest praktische bron van detectie als:
Als dit het geval is, is het apparaat waarschijnlijk niet gecompromitteerd. Desalniettemin is het aan te raden om te blijven zoeken naar tekenen van inbreuk, door het apparaat regelmatig te scannen met de interne / externe ICT en de laatste beschikbare IOC's te gebruiken.
Een snapshot van het systeem en het ophalen van relevante geheugen- en loggegevens wordt aanbevolen voordat de externe scan van de ICT wordt uitgevoerd, omdat de appliance dan opnieuw wordt opgestart[bron]. Overweeg om debug logging in te schakelen omdat dit de detectie kan verbeteren. Het loggen op debug-niveau (inclusief niet-geauthenticeerde verzoeken) is standaard niet ingeschakeld vanwege mogelijke prestatieproblemen.
Een incident response plan moet worden geactiveerd als een gecompromitteerd apparaat wordt geïdentificeerd. Dit plan kan het volgende omvatten
Aanvullend onderzoek kan worden uitgevoerd met behulp van de netwerk/host-gebaseerde IOC's hieronder (of de volledige lijst die alleen beschikbaar is voor onze MTD/MTI klanten via de Orange Cyberdefense Datalake), detectieregels, of analyse van verdacht gedrag direct in logs of op het apparaat.
Let er ook op hoe Ivanti appliances zijn geconfigureerd, aangezien deze actief-passief kunnen zijn en/of een cluster van apparaten kunnen omvatten en bepaalde stappen kunnen vereisen om grondig onderzoek te garanderen. We kunnen je helpen te beoordelen of je instance inderdaad gecompromitteerd is. Zo ja, neem dan contact op met onze Incident Response hotline.
Alle klanten van Orange Cyberdefense Managed Service zijn beschermd omdat onze toegewijde teams de aanbevelingen van de leverancier hebben toegepast. Orange Cyberdefense Managed Threat Defense-teams voeren proactief onderzoeken uit voor klanten met deze service. Klanten met deze service worden op de hoogte gesteld als er verdacht gedrag wordt vastgesteld.
Je vindt de details van de kwetsbaarheden in twee adviezen die Orange Cyberdefense heeft gepubliceerd (klantaccount vereist om toegang te krijgen tot de inhoud):
Wat we dachten dat het begin was van massale uitbuiting op donderdagavond, waren 'false positives' gegenereerd door de interne ICT-controles die standaard elke twee uur worden uitgevoerd. Deze controles vonden nieuwe bestanden van het bestand dat op het apparaat was geladen tijdens het upgraden. Niettemin begon exploitatie door opportunistische aanvallers laat op 2 februari, vlak nadat Rapid7[bron] en AssetNote[bron] publiekelijk onthulden hoe de SAML 0-day kwetsbaarheid, CVE-2024-21893, werkte door een werkende PoC vrij te geven die iedereen kon gebruiken. Het Orange Cyberdefense CERT identificeerde aanvallen slechts een paar uur nadat deze waren gepubliceerd. Een van de voorbeelden was een activiteit met Mirai-gebaseerde botnetvarianten die door opportunistische bedreigingsactoren op gecompromitteerde instanties werden gedropt.
De SAML 0-day is vermoedelijk gekoppeld aan een open-source bibliotheek van derden, de "xmltooling" afhankelijkheid, onderhouden door Shibboleth[bron]. Deze component was inderdaad kwetsbaar voor een SSRF-fout die in juni 2023 is hersteld en wordt getraceerd als CVE-2023-36661 (link voor onze Vulnerability Intelligence Watch-clients ).
De kwetsbare endpoints, die een XML doorgeven aan "saml-server" die speciaal kan worden bewerkt, kunnen de volgende endpoints zijn:
/dana-ws/saml.ws,
/dana-ws/saml20.ws,
/dana-ws/samlecp.ws,
/dana-na/auth/saml-sso.cgi
/dana-na/auth/saml-logout.cgi
/dana-na/auth/saml-consumer.cgi
Etc.
Wanneer het wordt verwerkt door xmltooling met de functie "XMLToolingFIPS.XMLObject.Signature", geeft het vervalste verzoek de niet-geauthenticeerde aanvaller op afstand toegang tot de machine. De exploit kan worden gekoppeld aan de eerste 0-day voor opdrachtinjectie (CVE-2024-21887) rechtstreeks vanuit het apparaat (d.w.z. 127.0.0.1/api/v1/license/keys-status) om de initiële XML-mitigatie te omzeilen.
Sinds het begin van deze crisis heeft Orange Cyberdefense CERT geprobeerd om kwetsbare of gecompromitteerde instanties te identificeren aan de hand van verschillende afwijkingen in reacties bij het opvragen van bepaalde bestanden of endpoints (bijv. de 403 "lege" reactie[bron], de GIFTDEVISITOR webshell, het nepbestand logo/login.gif, enz.) Na analyse van een gecompromitteerde vs. een schone instance, ontdekte CERT dat de logs van de legitieme moduleverwerking (DSlog.pm) waren gebackdoored en dat niet-gevoelige gegevens over de appliance waren gedumpt in een nieuw aangemaakt .txt-bestand. CERT identificeerde apparaten die dit gedrag vertoonden en vond verschillende instanties die mogelijk besmet waren met deze achterdeur.
Nogmaals, de oorspronkelijke "403 - Forbidden: empty response" scantechniek die hierboven is beschreven en die werd gebruikt om te beoordelen of de initiële XML mitigatie is toegepast of niet, dient niet meer te worden gebruikt nu de patches beschikbaar zijn. Instanties die al geüpgraded zijn, hebben de XML mitigatie niet meer en zijn niet kwetsbaar.
Een onderzoeker op X (Twitter) legde een andere techniek uit[bron] om op afstand te controleren of een instantie is gebackdoored met behulp van de SAML 0-day met het antwoord van een andere query. Het Orange Cyberdefense CERT kon niet bevestigen dat deze techniek zoals beschreven werkte.
Door het grote aantal misbruikpogingen gericht op de nieuwste SAML-kwetsbaarheid moeten getroffen organisaties snel reageren. De Amerikaanse overheidsinstantie voor cyberveiligheid CISA verzoekt alle overheidsinstanties om appliances voor vrijdag 2 februari 2024 los te koppelen om de potentiële blootstelling te beperken[Bron]. Als onderdeel van dit verzoek kunnen appliances pas online worden gebracht nadat de patch is toegepast.
De nieuwe XML-mitigatie van Ivanti kan op alle productversies worden toegepast en de patches lossen alleen de beveiligingsproblemen op en bevatten geen nieuwe functies. Een andere patch voor een nieuwe branch (genummerd 22.5R2.2) werd uitgebracht op 1 februari 2024. De laatste bijgewerkte externe ICT bevat geen IOC's of nieuwe detectietechnieken, maar stelt gebruikers in staat om een instantie te controleren die zelfs op de nieuwste (d.w.z. gepatchte) versies draait.
De dochteronderneming van Google heeft een technische vervolg blogpost gepubliceerd over de malwarestammen die worden gebruikt door de belangrijkste, oorspronkelijke dreigingsactor. De incident response provider bevestigde dat ze zeer gerichte post-exploitatie activiteit zagen. Mandiant noemde geen namen van slachtoffers, noch hun landen of sectoren. De dreigingsactor slaagde er in sommige gevallen in om apparaten te compromitteren en vervolgens terug te brengen naar een schone staat, om detectie te omzeilen, ook van de externe ICT-scan. Aanvallers knoeiden met de interne ICT-bestanden om te voorkomen dat deze werden uitgevoerd. Mandiant deelde een aantal Event ID's om dergelijke wijzigingen in logs te detecteren. Daarnaast deelde Mandiant ook andere ID's die zijn gekoppeld aan het wissen van systeemlogs door deze APT-groep.
Nieuwe malwarestammen die worden toegeschreven aan de dreigingsacteur (UNC5221) zijn ook gedetailleerd beschreven:
De code van ZIPLINE's stam werd verder gedetailleerd door Mandiant, die linkte gebruik te maken van open-source tool zoals Impacket, Iodine, CrackMapExec of Enum4Linux. Zoals vermeld in eerdere updates, werd een .tar archief vermomd als een willekeurig gegenereerd 10-karakter CSS bestand in de directory "/home/webserver/htdocs/dana-na/css/" gebruikt om gestolen informatie op te slaan (dump van configuratie en cache). Zoals we al wisten, werden gestolen gegevens in sommige gevallen toegevoegd aan legitieme "logo.gif" of "login.gif" bestanden, voor hetzelfde doel.
Volexity sprak op 18 januari voor het eerst over een op Rust gebaseerde malware voor Linux die werd gebruikt door de dreigingsactor, zonder toen meer details te geven. Een onderzoeker publiceerde er een paar dagen later hier een paar IOC's over, en daarna meer informatie over deze nieuwe variant die hij "KrustyLoader" 2 noemt (omdat hij gecodeerd is in Rust). De onderzoeker deelde een decoderingsscript voor het achterhalen van de URL's die door de loader worden gebruikt om een Sliver-backdoor te droppen, een bekend geavanceerd hulpmiddel voor post-exploitatie dat onze "Managed Threat Intell-detect" service al lange tijd proactief volgt.
Ivanti ZTA versie 22.6R1.3 heeft ook een patch ontvangen voor de 4 genoemde kwetsbaarheden.
Ivanti raadt aan om een fabrieksreset van apparaten uit te voeren voordat de patch wordt uitgevoerd. We raden u echter aan om apparaten te patchen zodra er beveiligingsfixes voor jouw versies worden vrijgegeven, zelfs als dit complexer is dan het toepassen van de XML-mitigatie.
Als je niet kunt patchen, heeft Ivanti ook een nieuw XML mitigatiebestand aangekondigd (mitigation.release.20240126.5.xml) om je te beschermen tegen de twee extra 0-days die vandaag zijn uitgebracht. Wanneer deze beschikbaar is (NDLR: de downloadlink werkt niet om 14.00 uur Parijse tijd), raden we gebruikers ten zeerste aan om ten minste deze nieuwe bescherming in te zetten totdat de apparaten volledig kunnen worden gepatcht. Deze bijgewerkte workaround blokkeert het SAML-authenticatieprobleem dat kan worden gebruikt om misbruik te maken van CVE-2024-21893:
"De nieuwe beperking blokkeert alle SAML-communicatie en -authenticatie. Dit zal beperkte gevolgen hebben voor klanten die LDAP gebruiken voor authenticatie", aldus Ivanti.
Bovenop de nieuwe XML heeft Ivanti een nieuwe versie van hun externe ICT uitgebracht:
Elk bedrijfsmiddel dat is blootgesteld aan internet en dat nog niet een van de mitigaties heeft toegepast, moet worden beschouwd als waarschijnlijk gehackt. Dit komt overeen met de meest recente CISA-blog6 waarin verdedigers wordt aangeraden om in ieder geval te blijven zoeken naar tekenen van compromittering.
Een forensisch bedrijf genaamd Volexity ontdekte begin december 2023 voor het eerst twee 0-day kwetsbaarheden, CVE-2023-46805 en CVE-2024-21887, in Ivanti's Connect Secure (ICS) producten. Deze kwetsbaarheden werden misbruikt om webshells in te voegen die Volexity de naam GLASSTOKEN gaf. Volexity wees ook UTA0178 toe als de naam van de onbekende dreigingsacteur die volgens hen banden heeft met de Chinese overheid.
Het niveau van geavanceerdheid en stealth van de bedreigingsactoren is hoog en aanvankelijk werd gedacht dat de gedetecteerde activiteit gerelateerd kon zijn aan een gerichte spionagecampagne, vanwege het aanvankelijk lage aantal getroffen ICS-hosts. Later nam het aantal getroffen ICS-hosts toe, waardoor de waarschijnlijkheid afnam dat we te maken hadden met een zeer gerichte aanval. UTA0178 moet nog worden gedefinieerd in termen van andere bestaande Chinese hackers van natiestaten. Volexity kondigde ook aan dat een andere dreiger, getraceerd als UTA0188, zich ook richt op de ICS-fouten.
Na het Volexity-rapport deelde Mandiant ook technische details van de malware die in verband wordt gebracht met de recente aanvallen die worden toegeschreven aan de dreigingsactor UTA0178 (door Mandiant getraceerd als UNC5221). Bij de post-exploitatieactiviteit wordt gebruikgemaakt van verschillende aangepaste malware, genaamd ZIPLINE, THINSPOOL, LIGHTWIRE, WARPWIRE en WIREFIRE.
Op 10 januari 2024 heeft Ivanti deze twee 0-days erkend door een advisory te publiceren waarin de getroffen producten worden aangeduid als de Ivanti Connect Secure en Ivanti Policy Secure producten. Deze kwetsbaarheden hebben invloed op alle versies van Ivanti Connect Secure (een VPN-oplossing voorheen bekend als Pulse Connect Secure), Policy Secure en tot op zekere hoogte Neurons voor ZTA gateway.
De twee kwetsbaarheden werden aan elkaar gekoppeld om ongeautoriseerde Remote Code Execution (RCE) mogelijk te maken. CVE-2023-46805 is een kwetsbaarheid voor het omzeilen van de authenticatie, terwijl CVE-2024-21887 een beveiligingslek voor commando-injectie is. In combinatie bieden ze aanvallers ongeauthenticeerde toegang tot de ICS-host, waardoor ze verder terrein kunnen winnen op het netwerk en lateraal kunnen bewegen, in dit geval met behulp van protocollen zoals RDP, SMB en SSH.
Helaas werden details van de kwetsbaarheden bekend door werk gepubliceerd door Watchtower Labs en Rapid 7. Watchtower Labs publiceerde een blogpost waarin ze aankondigden dat ze erin waren geslaagd om de zwakke plekken te reproduceren. Ze legden uit dat door het identificeren van de eindpunten die door Ivanti werden geblokkeerd in haar workaround (d.w.z. het versleutelde XML mitigatiebestand), er verschillen zichtbaar waren in de antwoorden van kwetsbare vs. gemitigeerde instanties. Rapid 7 onthulde vervolgens details met betrekking tot CVE-2023-46805, waardoor anderen exploits voor dit lek konden maken.
Natuurlijk verwachten we een toename van het aantal exploit-pogingen, aangezien er nog steeds enkele duizenden apparaten ongepatcht zijn. Rond dezelfde tijd meldde GreyNoise dat ze een toename hadden ontdekt van het aantal pogingen om de twee ICS-kwetsbaarheden te misbruiken. Volexity gaf op zijn beurt aan dat aanvallers momenteel malware installeren die cryptomining (XMRIG) en andere soorten payloads mogelijk maakt.
Op 17 januari 2023 hadden meer dan 4.000 ICS-hosts nog steeds niet de mitigatie van Ivanti. Rond dezelfde tijd schatte Volexity dat ongeveer 2.100 Ivanti Connect Secure VPN-apparaten waren gecompromitteerd met het GIFTEDVISITOR-implantaat dat wordt toegeschreven aan UTA0178.
Enkele bijbehorende logs die mogelijk kunnen worden onderzocht zijn:
msg="WEB31809: Access for /api/v1/configuration/users/user-roles/user-role/rest-userrole1/web/web-bookmarks/bookmark is blocked due to patch(Patch 2)."
Om te controleren of XML is toegepast, kan je bijvoorbeeld een van de endpoints oproepen:
/api/v1/configuration/users/user-roles/user-role/rest-userrole-1/web/web-bookmarks/bookmark
/api/v1/configuration/users/user-roles/user-role/rest-userrole1/web/web-bookmarks/bookmark
Deze REST API is geïntroduceerd in de 8.3R3 versie van Pulse Secure en staat in de documentatie voor alle 9.XRX versies.
Een Nmap-script kan deze controle vereenvoudigen. Het antwoord zal in beide gevallen een 403 Forbidden bevatten, maar de inhoud van het antwoord zal zijn:
an empty page for a vulnerable instance
a full HTML content embedding "Access to the Web site is blocked by your administrator. [...]" in the case the XML fix was applied
Malicious file location:
/home/perl/DSLogConfig[.]pm
/home/etc/sql/dsserver/sessionserver[.]pl
/home/etc/sql/dsserver/sessionserver[.]sh
/home/webserver/htdocs/dana-na/auth/compcheckresult[.]cgi
/home/webserver/htdocs/dana-na/auth/lastauthserverused[.]js
/tmp/rev
/tmp/s[.]py
/tmp/s[.]jar
/tmp/b
/tmp/kill
Hostname:
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
IPs:
206.189.208[.]156
75.145.243[.]85
47.207.9[.]89
98.160.48[.]170
173.220.106[.]166
73.128.178[.]221
50.243.177[.]161
50.213.208[.]89
64.24.179[.]210
75.145.224[.]109
50.215.39[.]49
71.127.149[.]194
173.53.43[.]7
MD5 hash:
3d97f55a03ceb4f71671aa2ecf5b24e9 (compcheckresult[.]cgi)
677c1aa6e2503b56fe13e1568a814754 (sessionserver[.]sh)
d0c7a334a4d9dcd3c6335ae13bee59ea (lastauthserverused[.]js)
6de651357a15efd01db4e658249d4981 (visits[.]py)
Als je de risico's wilt afdekken en de dreiging wilt beperken, in detectie of in de jacht, raadpleeg dan de up-to-date IOC die zichtbaar is in de Datalake!