Postřehy z bezpečnosti: další a další zranitelnosti produktů Ivanti

5. 2. 2024

Doba čtení: 7 minut

Líbí se vám článek?
Podpořte redakci

Autor: Depositphotos

Podíváme se na zranitelnosti v Ivanti, novou podvodnou kampaň ruských aktérů, narušení operace Volt Typhoon ze strany amerických úřadů, škodlivé aplikace na platformě Google Play a malware PurpleFox, který opět útočí na ukrajinské cíle.

Nekončící zero-day zranitelnosti v produktech Ivanti

Od poloviny ledna známe celkem čtyři zranitelnosti produktů Ivanti. První dvě – CVE-2023–46805 a CVE-2024–21887 – se týkají všech podporovaných verzí Ivanti Connect Secure VPN (ICS, dříve známé jako Pulse Connect Secure) a Ivanti Policy Secure (IPS). Další dvě – CVE-2024–21888 a CVE-2024–21893 – by měly být už jen v určitých verzích příslušných produktů.

U prvních dvou CVE vzniká hlavní problém při tzv. vulnerability chaining – propojení zneužití těchto dvou chyb. Útočníci tak mohou velmi jednoduše spouštět libovolné příkazy v systému. Z analýzy společnosti Volexity vyplývá, že útočník vložil backdoor do legitimního souboru CGI, upravil JavaScript v komponentě Web SSL-VPN za účelem zaznamenávání klíčů a exfiltraci přihlašovacích údajů a k opětovnému připojení po exploitaci použil tunelovací modul PySoxy a soubor linuxových nástrojů BusyBox. To zdaleka není vše.

Při útocích byl mj. použit pasivní backdoor s názvem ZIPLINE, který dokáže stahovat a odesílat soubory, vytvořit reverzní shell a proxy server nebo nastavit tunelovací server pro přenos dat mezi více koncovými body. Kromě vlastních nástrojů útočníka byla zaznamenána i řada open-source utilit jako je Impacket, CrackMapExec, iodine a Enum4linux.

VPN (SSL-VPN) představují pro útočníky atraktivní cíl, neboť jim mohou poskytnout počáteční přístup, následně přejít do jiných instancí v síti a dostat se k datům, která by měla být přístupná pouze oprávněným uživatelům. Ivanti CS VPN je rozšířené SSL-VPN řešení používané mnoha vládami a soukromými společnostmi v Severní Americe a v Evropě. Údajně je kompromitováno více než 1 700 zařízení.

Za zneužitím zranitelností stojí s velkou pravděpodobností čínská skupina UNC5521 (také UTA0178). Dle společnosti Mandiant se útočníci zaměřili na širokou škálu cílů, které souvisejí se zájmy ČLR. Kromě toho řada nástrojů odhalených při vyšetřování využívá kód z čínského Githubu.

Společnost Ivanti po prvním kole oprav nadále doporučuje, aby uživatelé ve svých zařízeních zkontrolovali historické logy nástrojem Integrity Checker Tool (ICT) a aby s ní sdíleli své výsledky. Cílem je další analýza, na jejímž základě společnost rozhodne, zda je zařízení kompromitované, a doporučí následné kroky. V této souvislosti je rovněž doporučováno resetování hesel uživatelů organizace, kteří se připojovali k zařízení v období, kdy byl malware aktivní.

Ruští hackeři se v nové kampani vydávají za výzkumníky a akademiky

Britský autor knihy „Russia’s War on Everybody“ Keir Giles se s Recorded Future podělil o několik podezřelých e-mailů, které mu přišly z podvržených účtů jeho kolegů výzkumníků. Veškerá korespondence naznačuje, že několik výzkumných pracovníků bylo úspěšně kompromitováno hackery. Ti ve zprávách předstírali, že žádají o zpětnou vazbu k akademickým článkům – včetně článku o sankcích vůči Moskvě nebo k pracovní verzi ukrajinské strategie námořní bezpečnosti.

Tato kampaň, která zasáhla jednotlivce ve Spojených státech i v Evropě, je nejnovějším příkladem ruských kybernetických aktivit. Jejím cílem je získat přístup do e-mailových schránek napadených osob kvůli sběru zpravodajských informací a získání přístupu k materiálům, které může Kreml použít k diskreditaci svých kritiků.

PDF dokumenty v e-mailech mají rozmazaný obsah a na přední straně je umístěno tlačítko „Otevřít na Disku Google“. To naznačuje, že by na něj měla oběť kliknout, aby se rozmazání dokumentu odstranilo. Tlačítko odkazuje na falešnou doménu Google Drive hostovanou hackery, která napodobuje přihlašovací stránku k účtu oběti. Heslo i dvoufaktorový ověřovací token jsou však ve skutečnosti zachyceny ruskými zpravodajskými službami a jsou použity k přístupu k e-mailovému účtu oběti. Kromě rozmazaného obsahu v souboru PDF je na konci dokumentu několik stránek, které se zdají být prázdné, ale ve skutečnosti obsahují bílý text na bílém pozadí, který vypadá jako přeuspořádané úryvky z Malého prince. Pravděpodobně jde o mechanismus vyhýbání se detekci spamu.

Nezávislé analýzy e-mailů, příloh a infrastruktury zaměřené na Keira Gilese provedly kyberbezpečnostní společnosti Secureworks a Mandiant. Obě tyto společnosti se domnívají, že kampaň byla provedena státem sponzorovanou skupinou sledovanou pod různými názvy jako Iron Frontier, Calisto, Coldriver nebo Star Blizzard/Seaborgium, jíž britská vláda připisuje ruským zpravodajským službám.

USA potvrdily zničení čínského botnetu zaměřeného na SOHO routery

Americké ministerstvo spravedlnosti ve středu 31. ledna potvrdilo narušení botnetu, který provozovala čínská vládní hackerská skupina známá jako Volt Typhoon. Ta infikovala soukromé domácí a kancelářské routery (SOHO, Small Office Home Office) malwarem „KV Botnet“, aby skrze ně zakryla své další aktivity – včetně útoků na americkou kritickou infrastrukturu.

O kampaních Volt Typhoon zaměřených na kritickou infrastrukturu USA na Guamu, Havaji a v dalších oblastech v okolí amerických vojenských základen poprvé informovala společnost Microsoft v květnu 2023. Před dvěma týdny jiná bezpečnostní společnost varovala, že Volt Typhoon, který se překrývá s kampaněmi BRONZE SILHOETTE a TAG-87, jde po nepodporovaných (end-of-life) routerech a síťových zařízeních Cisco v USA, Velké Británii a Austrálii v rámci větší kampaně zneužívající zranitelnosti z roku 2019.

Deníky New York Times a Washington Post loni v létě informovaly, že podle amerických představitelů kampaň souvisí s přípravami na možnou invazi na Tchaj-wan a jejím cílem má být zpomalení mobilizace amerických sil a vyvolání nestability v USA.

Na GooglePlay byly objeveny další aplikace plné malwaru

VajraSpy – trojský kůň pro vzdálený přístup (RAT) k systému Android – byl nalezen ve 12 škodlivých aplikacích, z nichž šest bylo k dispozici na platformě Google Play. Než došlo k jejich odstranění, byly staženy cca 1400krát.

Aplikace se tvářily jako zpravodajské a komunikační platformy. Konkrétně šlo o Rafaqat, Privee Talk, MeetMe, Let’s Chat, Quick Chat a Chit Chat. Po jejich stažení došlo k instalaci VajraSpy, který umožňoval ze zařízení odcizit osobní údaje včetně kontaktů, zachytávat a extrahovat zprávy z šifrovaných platforem jako je WhatsApp nebo Signal, aktivovat fotoaparát a pořizovat snímky, zachytávat oznámení z různých aplikací v reálném čase a v závislosti na udělených oprávněních i nahrávat telefonní hovory a odposlouchávat tak soukromé konverzace.

Výzkumníci společnosti ESET uvádějí, že za škodlivými aplikacemi stojí skupina Patchwork, jež je aktivní alespoň od konce roku 2015 a cílí především na uživatele v Pákistánu. I v současné kampani byla většina obětí z Pákistánu a Indie. Podle dostupných informací se oběti této kampaně chytli na tzv. romance scam.

Malware PurpleFox infikoval tisíce ukrajinských počítačů

Ukrajinský Computer Emergency Response Team (CERT-UA) varuje před malwarovou kampaní PurpleFox, která v zemi infikovala nejméně 2 000 počítačů. Zatím není jasné, jestli útočí pouze na Ukrajinu nebo i na jiné země, zdali míří na státní instituce nebo i běžné občany, ani jaký má být její přesný dopad. Není znám ani počáteční vektor útoku.

Samotný PurpleFox je modulární botnetový malware pro Windows, který byl poprvé odhalen v roce 2018. Je vybaven rootkitovým modulem, jenž mu umožňuje se skrýt a udržovat si perzistenci i mezi restarty počítačů. Může být použitý i jako downloader, který v napadených systémech zavádí second-stage payload, jako bot pro DDoS útoky a svým provozovatelům nabízí i vytvoření backdooru.

Malware typicky infikuje systémy, když jeho oběti spustí zavirované instalační soubory MSI. Sám v sobě navíc obsahuje schopnost samopropagace pomocí zneužití známých chyb a brute-force hesel.

CERT-UA monitoroval infikované hostitele mezi 20. a 31. lednem 2024 a zjistil celkem 486 IP adres zprostředkujícího řídicího serveru, z nichž se většina nachází v ČLR. Pro odhalení infekce PurpleFox doporučuje provést následující kroky:

1. Prozkoumejte síťová připojení k „vysokým“ (10000+) portům pomocí seznamu IP adres.

2. Pomocí nástroje regedit.exe zkontrolujte následující hodnoty registru:

WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]

Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D

3. Analyzujte protokol „Aplikace“ v Prohlížeči událostí pro ID události 1040 a 1042, zdroj: „MsiInstaller“.

4. Zkontrolujte, zda se v adresáři C:\Program Files nenacházejí složky s náhodnými názvy, např. C:\Program Files\dvhvA.

5. Ověřte trvalé spuštění malwaru, který používá služby a ukládá soubory do specifických adresářů a brání rootkitu v detekci/odstranění. Klíčová umístění jsou:

HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp
C:\Windows\System32\MsXXXXXXXXApp.dll
C:\Windows\AppPatch\DBXXXXXXXXMK.sdb, RCXXXXXXXXMS.sdb, TKXXXXXXXXMS.sdb
Kde XXXXXXXX je náhodná sekvence [A-F0-9]{8}, např. „MsBA4B6B3AApp.dll“.

Pokud některý z výše uvedených bodů naznačuje infekci PurpleFox, CERT-UA doporučuje použít Avast Free AV a spustit „SMART“ skenování. Pokud jsou ve stejné síti stále infikované počítače, zapněte na Windows firewall a vytvořte pravidlo pro blokování příchozího provozu z portů 135, 137, 139 a 445, abyste předešli opětovné infekci, která je v tomto případě velmi pravděpodobná.

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Seriál: Postřehy z bezpečnosti