Hackeo a Ivanti: hackers chinos encontraron un punto débil en las redes corporativas
Dos cadenas de ataques que sacudieron la nube.
CISA y el FBI publicaron detalles técnicos sobre dos complejas cadenas de explotación de vulnerabilidades que fueron utilizadas por hackers chinos para atacar los dispositivos de servicios en la nube Ivanti CSA. Se presentaron indicadores de compromiso (IOC) y otros datos obtenidos durante la mitigación de los ataques.
Los hackers utilizaron dos cadenas principales de explotación y aplicaron métodos de movimiento lateral (Lateral Movement) para obtener acceso remoto, recopilar credenciales e instalar web shells en los sistemas comprometidos.
Las vulnerabilidades CVE-2024-8963 (calificación CVSS: 9.4), CVE-2024-9379 (calificación CVSS: 6.5), CVE-2024-8190 (calificación CVSS: 7.2) y CVE-2024-9380 (calificación CVSS: 7.2) se convirtieron en los principales objetivos para los ciberespías. En uno de los escenarios de ataque se utilizaron las vulnerabilidades CVE-2024-8963, CVE-2024-8190 y CVE-2024-9380, y en otro se utilizó la combinación de CVE-2024-8963 y CVE-2024-9379. En varios casos, los atacantes se movían a servidores adicionales dentro de la infraestructura atacada.
Las vulnerabilidades afectan a las versiones de Ivanti CSA desde la 4.6x hasta la 519, así como a las versiones 5.0.1 y anteriores. El problema radica en que la versión 4.6 ya no es compatible y no recibe actualizaciones de seguridad, lo que la hace especialmente vulnerable. Sin embargo, la empresa Ivanti confirmó que en la última versión CSA 5.0 estas vulnerabilidades no fueron explotadas.
Las agencias también compartieron una descripción detallada del funcionamiento de los hackers. En uno de los casos, un administrador de sistemas detectó la creación sospechosa de cuentas y evitó rápidamente el ataque. En otro incidente, el sistema de protección de endpoints registró la ejecución de scripts cifrados para crear web shells. En un tercer caso, los indicadores de compromiso previos ayudaron a identificar rápidamente actividades sospechosas, incluyendo el uso de herramientas Obelisk y GoGo Scanner.
En todas las situaciones descritas, las organizaciones afectadas reemplazaron las máquinas virtuales por versiones limpias y actualizadas. Las agencias recomiendan encarecidamente a los especialistas en seguridad analizar los logs y artefactos para buscar rastros de intrusión, así como considerar todas las credenciales almacenadas en los dispositivos afectados como potencialmente comprometidas.
Mandiant vinculó los ataques con el grupo APT chino UNC5221, que anteriormente en diciembre de 2023 explotó vulnerabilidades en dispositivos VPN de Ivanti Connect Secure. Durante los ataques se utilizaron programas maliciosos personalizados, incluyendo el backdoor Zipline, el droppers Thinspool, el web shell Lightwire y la herramienta de recopilación de credenciales Warpwire. También se detectó el uso de la herramienta de tunelización PySoxy y BusyBox para actividades posteriores.