Ivanti ตรวจพบช่องโหว่ Zero-day 2 ช่องโหว่ คือ CVE-2023-46805 และ CVE-2024-21887 ส่งผลกระทบต่ออุปกรณ์ Ivanti Connect Secure VPN (CS เดิมชื่อ Pulse Secure) และ Ivanti Policy Secure (PS) เมื่อการโจมตีประสบความสำเร็จอาจส่งผลให้เกิดการเลี่ยงการตรวจสอบสิทธิ์และการแทรกคำสั่งอันตราย ซึ่งนำไปสู่การยึดเครือข่ายของเหยื่อได้ ต่อมา Mandiant พบการใช้ช่องโหว่เหล่านี้ตั้งแต่เดือนธันวาคม 2023 โดยผู้ต้องสงสัยว่าเป็นผู้โจมตี (Threat actor) คือ UNC5221

รายละเอียดช่องโหว่ที่ใช้ในการโจมตีCVE-2023-46805 เป็นช่องโหว่การเลี่ยงการตรวจสอบสิทธิ์ (Authentication bypass) ในองค์ประกอบของเว็บ ซึ่งจะอนุญาตให้ผู้โจมตีระยะไกลเข้าถึงทรัพยากรที่ถูกจำกัดโดยข้ามการตรวจสอบการควบคุมCVE-2024-21887 เป็นช่องโหว่การแทรกคำสั่ง (Command injection) ในองค์ประกอบของเว็บ หากโจมตีสำเร็จจะอนุญาตให้ผู้ดูแลระบบที่ผ่านการตรวจสอบ ส่งคำขอที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์และสามารถดำเนินการคำสั่งอันตรายใดๆ บนอุปกรณ์นั้นได้ตามต้องการ โดยช่องโหว่นี้สามารถโจมตีได้ผ่านอินเทอร์เน็ต

พฤติกรรมหลังการโจมตี (Post Exploitation Activity)หลังจากการใช้ช่องโหว่ CVE-2023-46805 และ CVE-2024-21887 โจมตีสำเร็จ UNC5221 ใช้มัลแวร์หลายตระกูลและใส่โค้ดอันตรายลงในไฟล์ที่ถูกต้อง (Legitimate file) ของ Connect Secure UNC5221 ยังถูกสังเกตว่าใช้ PySoxy tunneler และ BusyBox อีกด้วยเนื่องจากบางส่วนของอุปกรณ์เป็นแบบอ่านอย่างเดียว UNC5221 จึงใช้สคริปต์ Perl (sessionserver.pl) เพื่อนำระบบไฟล์มาอ่าน/เขียนและเปิดใช้งานการติดตั้ง THINSPOOL ซึ่งเป็นตัวปล่อยสคริปต์ (Shell script dropper) ที่เขียนเว็บเชลล์ LIGHTWIRE ไปยังไฟล์ที่ถูกต้อง (Legitimate file) ของ Connect Secure และยังมีเครื่องมืออื่นๆ ตามมา

Mandiant พิจารณาว่า THINSPOOL ทำหน้าที่เป็นเครื่องมือสำคัญสำหรับทั้งการคงอยู่ (Persistence) และการหลีกเลี่ยงการตรวจจับ (Detection evasion) นอกจากจะเป็นตัวปล่อยเริ่มต้นสำหรับเว็บเชลล์ LIGHTWIRE ที่ UNC5221 ใช้สำหรับ Post Exploitation เว็บเชลล์ LIGHTWIRE และ WIREFIRE จะเป็น Foothold ที่ช่วยให้เข้าถึงอุปกรณ์ CS ได้อย่างต่อเนื่อง ซึ่งแสดงว่าการโจมตีเหล่านี้ไม่ใช่ฉาบฉวย แต่ UNC5221 ตั้งใจที่จะคงอยู่บนเป้าหมายสำคัญบางส่วนที่โจมตีไปแล้วหลังจากมีการเผยแพร่แพตช์อย่างหลีกเลี่ยงไม่ได้ นอกจากนี้ WARPWIRE Javascript credential stealer ยังสามารถเปิดใช้งานการเข้าถึงบัญชีเพิ่มเติมสำหรับการ Lateral movement หรือการจารกรรมข้อมูลโดยการดักจับรหัสผ่านการเข้าสู่ระบบแบบข้อความธรรมดา

ระบบที่ได้รับผลกระทบ
- Ivanti Connect Secure เวอร์ชั่น 9.x และ 22.x
- Ivanti Policy Secure

แนวทางการลดผลกระทบทาง
- Ivanti ได้ปล่อยวิธีการแก้ไขเบื้องต้น (Workaround) และการกู้คืน (Recovery) จากลิงก์อ้างอิงด้านล่าง และควรดำเนินการแก้ไขโดยเร็วที่สุด
- ใช้เครื่องมือ Ivanti Integrity Checker Tool (ICT) เพื่อตรวจสอบว่าระบบได้รับผลกระทบหรือไม่
- ติดตามโพสต์ของ Ivanti เพื่อดูกำหนดการเผยแพร่แพตช์ที่จะเกิดขึ้น และอัปเดตเวอร์ชันของผลิตภัณฑ์ให้เป็นเวอร์ชันที่แก้ไขช่องโหว่แล้ว

อ้างอิง
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
- https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US
- https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day