Los atacantes podrían ganar persistencia en los dispositivos VPN de Ivanti según varias agencias de seguridad
Se han identificado métodos que podrían permitir eludir las comprobaciones de integridad en busca de ataques recientes, quizás sobreviviendo a los restablecimientos de fábrica.
Tras el anuncio de dos vulnerabilidades de tipo ‘zero-day’ que afectan a Ivanti Connect Secure e Ivanti Policy Secure, las agencias de seguridad de varios países advierten que los atacantes fueron capaces de engañar a las herramientas de comprobación de integridad internas y externas con una técnica identificada en un entorno de laboratorio que podría usarse para lograr la persistencia del malware en los dispositivos a pesar de los restablecimientos y parches de fábrica.
“Las organizaciones instan encarecidamente a todas las empresas a considerar el riesgo significativo del acceso y la persistencia de un adversario en las puertas de enlace de estos productos al determinar si continúan operando estos dispositivos en un entorno corporativo”, han informado la Oficina de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y el Centro Nacional de Seguridad Cibernética del Reino Unido, entre otras entidades.
Ivanti ha respondido lanzando una versión mejorada de su herramienta externa de verificación de integridad y ha señalado que cree que la técnica de persistencia ideada por CISA en su laboratorio no funcionaría en un entorno de cliente en vivo porque los atacantes perderían su conexión con el dispositivo.
El verificador de integridad no pudo detectar compromisos en algunos casos
CISA identificó durante múltiples compromisos de respuesta a incidentes que las herramientas de verificación de integridad internas y externas anteriores proporcionadas por Ivanti no lograron detectar los compromisos existentes. Estas son herramientas que verifican áreas importantes del sistema de archivos en busca de modificaciones y signos conocidos que podrían indicar un ataque.
Sin embargo, dado que estas herramientas se ejecutan periódicamente y no de forma continua (la interna verifica cada dos horas), los autores de malware podrían intentar evadir la detección activando su malware entre análisis. Esto es exactamente lo que la empresa de respuesta a incidentes Mandiant ha observado en ataques limitados perpetrados por un grupo APT con sede en China al que rastrea como UNC5325. Este grupo comenzó a explotar la vulnerabilidad CVE-2024-21893 horas después de que Ivanti la revelara públicamente el 31 de enero y mostrara un alto nivel de conocimiento y familiaridad con el funcionamiento interno de las puertas de enlace VPN SSL de Ivanti, lo que sugiere que ha realizado ingeniería inversa en estos dispositivos.
“En particular, Mandiant ha identificado UNC5325 utilizando una combinación de técnicas de vida de la tierra (LotL) para evadir mejor la detección, mientras implementa malware novedoso como LITTLELAMB.WOOLTEA en un intento de persistir en actualizaciones del sistema, parches y restablecimientos de fábrica”, dijo la compañía en un informe esta semana.
Uno de los implantes implementados por UNC5325 es un shell web (una puerta trasera de acceso remoto basada en web) denominado BUSHWALK que está escrito en Perl e integrado en un componente legítimo de Ivanti Connect Secure llamado querymanifest.cgi. En los ataques más recientes, el grupo utilizó una nueva variante de este shell y una técnica que les permitió habilitarlo y deshabilitarlo según la cadena de agente de usuario especificada en las solicitudes enviadas al shell.
Esto les permitió mantener una copia cifrada del shell web en un área del sistema de archivos que no está controlada por las TIC de Ivanti y solo descifrarla y agregarla a querymanifest.cgi cuando fuera necesario utilizando una de las herramientas integradas de Ivanti. Luego, al desactivarlo, se restaura el querymanifest.cgi original, se cambia su marca de tiempo para ocultar la modificación reciente y la copia cifrada del shell web se guarda en la ubicación que no es escaneada por las TIC de Ivanti.
"Ivanti, Mandiant y CISA recomendaron utilizar las TIC externas actualizadas para ayudar a detectar vectores de ataque conocidos y detectar archivos adicionales o archivos modificados", dijo Ivanti en una publicación de blog. “Como ha enfatizado Ivanti, esta es una herramienta de seguridad útil e informativa en su arsenal, para complementar otras herramientas de seguridad y monitoreo. Nuestra recomendación sigue siendo que se utilicen las TIC actualizadas junto con un seguimiento continuo”.
Se necesitan herramientas adicionales de monitoreo continuo en los dispositivos porque las TIC solo proporcionan una instantánea en el tiempo del sistema de archivos y no pueden detectar los cambios realizados por los atacantes en el pasado y luego revertidos antes de que se ejecutara la herramienta.
Intento de persistencia entre parches del sistema y restablecimientos de fábrica
El grupo UNC5325 también ideó métodos para implementar una puerta trasera denominada por Mandiant como LITTLELAMB.WOOLTEA que persistiría incluso después de actualizaciones del sistema, parches o restablecimientos de fábrica. La puerta trasera se implementa como un objeto compartido llamado libchilkat.so como parte de un complemento fraudulento para SparkGateway, un componente legítimo del dispositivo Ivanti Connect Secure que permite el acceso remoto a través de un navegador utilizando protocolos como RDP o SSH.
Los atacantes idearon dos métodos para hacer que esta puerta trasera persista en todos los parches. Primero, agrega sus componentes maliciosos, como la configuración modificada de SparkGateway y el complemento malicioso, a un archivo llamado /data/pkg/data-backup.tgz. Esta es una copia de seguridad del directorio de datos del dispositivo que se restaura durante el proceso de actualización del sistema.
El segundo método implica verificar constantemente la presencia de una ruta del sistema de archivos llamada /tmp/data/root/dev que solo se crea durante un evento de actualización del sistema. Si se detecta esta ruta, la puerta trasera procede a copiarse a sí misma y a los demás archivos modificados en /tmp/data/root/samba_upgrade.tar, un archivo que se utiliza para la migración de datos durante el proceso de actualización.
Para sobrevivir a los restablecimientos de fábrica, los atacantes idearon una técnica complicada que verifica el tipo de dispositivo, luego monta la partición raíz del restablecimiento de fábrica en un directorio temporal e intenta realizar modificaciones para implementar una versión troyanizada de la herramienta de archivo tar en su interior. Esta versión de tar descomprimiría automáticamente el samba_upgrade.tar modificado maliciosamente durante un procedimiento de restablecimiento de fábrica, básicamente restaurando la puerta trasera.
Sin embargo, esta técnica de persistencia falló porque la partición de restablecimiento de fábrica está cifrada con una clave de cifrado que está codificada en el kernel de la versión en ejecución en el momento de la compilación y es única para cada versión del dispositivo. “Si la versión actual en ejecución y las versiones de implementación del restablecimiento de fábrica difieren (es decir, el dispositivo o la máquina virtual se ha actualizado al menos una vez), entonces /bin/losetup no podrá descifrar la partición del restablecimiento de fábrica debido a que la clave de cifrado no coincide y, por lo tanto, el el malware no persistirá después del restablecimiento de fábrica”, explicó Mandiant. Ni Mandiant ni Ivanti han visto ningún incidente en el que esta técnica parezca haber funcionado.
Esta no es la misma técnica de persistencia que CISA afirma haber encontrado durante sus propias pruebas de laboratorio internas y que Ivanti no cree que sea práctica en ataques reales. No se han hecho públicos detalles sobre esa técnica, pero los intentos de UNC5325 muestran que los atacantes están interesados ??en desarrollar tales métodos.
Consejos de mitigación para compromisos no detectados de Ivanti VPN
“Las organizaciones autoras alientan a los defensores de la red a (1) asumir que las credenciales de usuario y cuenta de servicio almacenadas dentro de los dispositivos Ivanti VPN afectados probablemente estén comprometidas, (2) buscar actividad maliciosa en sus redes utilizando métodos de detección e indicadores de compromiso (IOC). dentro de este aviso, (3) ejecute las TIC externas más recientes de Ivanti y (4) aplique la guía de parches disponible proporcionada por Ivanti a medida que las actualizaciones de versión estén disponibles”, dijo CISA en su aviso. "Si se detecta un posible compromiso, las organizaciones deben recopilar y analizar registros y artefactos en busca de actividad maliciosa y aplicar las recomendaciones de respuesta a incidentes contenidas en este aviso".
Las agencias autoras también enfatizaron que, dadas sus observaciones y hallazgos, el "curso de acción más seguro" para los defensores de la red es asumir que los actores de amenazas sofisticados podrían implementar rootkits persistentes en dispositivos que han sido restablecidos de fábrica y luego potencialmente permanecen inactivos por un tiempo arbitrario. de tiempo para evadir la detección. Es por eso que las agencias aconsejan a las organizaciones que consideren los riesgos de mantener dispositivos Ivanti en sus redes.
Mientras tanto, Ivanti aconseja a los clientes que ya completaron un restablecimiento de fábrica en sus dispositivos de hardware o implementaron una nueva versión en sus dispositivos virtuales (se recomienda implementar una nueva versión en lugar de un restablecimiento de fábrica en dispositivos virtuales) que continúen ejecutando las TIC internas y externas actualizadas y realicen Monitoreo continuo utilizando otras herramientas que toman en cuenta los IoC y TTP publicados por Mandiant y CISA.
Los clientes que aún no hayan implementado los parches para todas las vulnerabilidades previamente anunciadas y explotadas deben hacerlo urgentemente siguiendo las instrucciones del artículo de la base de conocimientos de Ivanti.
