Avviso di ThreatLabz: gli hacker sfruttano le vulnerabilità delle VPN di Ivanti e nuove minacce 0-day generano rischi critici

Introduzione

Ivanti, una società di gestione e sicurezza IT, ha rilasciato un avviso su molteplici vulnerabilità 0-day presenti nei suoi prodotti VPN, che da dicembre 2023 vengono sfruttate da hacker associati al governo della Cina. La divulgazione iniziale riguardava due CVE (CVE-2023-46805 e CVE-2024 -21887) che consentono a un aggressore in remoto di eseguire exploit di bypass dell'autenticazione e di iniezione di comandi da remoto. Ivanti ha rilasciato una patch che è stata immediatamente aggirata da due ulteriori falle (CVE-2024-21888 e CVE-2024-21893) che consentono a un utente malintenzionato di eseguire exploit di escalation dei privilegi e di falsificazione delle richieste lato server. 

La Cybersecurity & Infrastructure Security Agency (CISA) ha rilasciato un avviso iniziale e una direttiva di emergenza (ED-24-01) che stabilisce la tempistica per la mitigazione dei due problemi originari entro le 23:59 EST del 22 gennaio 2024. Sulla scia della scoperta di due nuove vulnerabilità, e data la mancanza di patch disponibili, la CISA ha emesso una direttiva supplementare a quella di emergenza, che ordina alle agenzie appartenenti al ramo esecutivo delle politiche civili (Federal Civilian Executive Branch, FCEB) di disconnettere dalle proprie reti tutte le istanze delle soluzioni Ivanti Connect Secure (ICS) e Ivanti Policy Sicure (IPS) entro e non oltre le 23:59 EST del 2 febbraio 2024.

Raccomandazioni

Per le vulnerabilità CVE-2023-46805 e CVE-2024-21887

• Applica la patch: Ivanti ha rilasciato una patch per risolvere le due vulnerabilità iniziali. Si consiglia agli utenti di applicare tempestivamente questa patch per proteggere i propri sistemi.
• Ripristina le impostazioni di fabbrica prima della patch: Ivanti consiglia agli utenti di eseguire un ripristino delle impostazioni di fabbrica sul proprio dispositivo prima di applicare la patch. Questo passaggio precauzionale mira a impedire che potenziali aggressori installino aggiornamenti dannosi o persistano all'interno dell'ambiente. 

Per le vulnerabilità CVE-2024-21888 e CVE-2024-21893

• Direttiva supplementare della CISA (ED-24-01): la CISA ha incaricato le agenzie federali di disconnettere tutte le istanze delle soluzioni Ivanti Connect Secure (ICS) e Ivanti Policy Secure (IPS) dalle reti delle agenzie. Sebbene le linee guida delle CISA impongano questa misura di sicurezza alle agenzie dell'FCEB, l'ente estende tale raccomandazione e consiglia di seguire i passaggi indicati a tutte le organizzazioni.
• Applica le patch non appena disponibili seguendo le indicazioni consigliate.

Per tutti i problemi scoperti

• Dai la priorità alla segmentazione di tutti i sistemi potenzialmente colpiti per ridurre il raggio di propagazione del danno.
• Esegui un'attività continua di ricerca delle minacce per tutti i dispositivi connessi da e verso i prodotti di Ivanti interessati.
• Monitora i servizi di gestione delle identità e le anomalie nell'autenticazione.
• Verifica attivamente gli account con privilegi creati o aggiornati di recente. 
• Aggiorna i certificati, le chiavi e le password di tutte le applicazioni e i sistemi connessi o esposti.

Attribuzione

Sembra che il gruppo di hacker UTA0178, sostenuto dal governo cinese e dedito ad attività di spionaggio, sia responsabile dello sfruttamento delle vulnerabilità di ICS VPN. Lo stesso gruppo è stato anche indicato come responsabile degli attacchi mirati alle Filippine, condotti utilizzando le famiglie di malware MISTCLOAK, BLUEHAZE e DARKDEW.

Come funziona

Per ottenere l'accesso alle apparecchiature VPN ICS, è stato osservato che gli aggressori hanno sfruttato due vulnerabilità, la CVE-2023-46805 (una vulnerabilità di bypass dell'autenticazione con un punteggio CVSS di 8,2) e la CVE-2024-21887 (una vulnerabilità di iniezione dei comandi riscontrata in più componenti web con un punteggio CVSS di 9,1). Le prime attività sono avvenute già il 3 dicembre 2023. Gli aggressori hanno sfruttato prevalentemente le risorse presenti nell'ambiente, ma sono stati distribuiti anche alcuni strumenti. 

Gli strumenti utilizzati dagli aggressori sono stati: 

• PySoxy tunneler e BusyBox per abilitare le attività post-sfruttamento
• ZIPLINE Passive Backdoor 
• THINSPOOL Dropper 
• LIGHTWIRE 
• Le web shell WIREFIRE, BUSHWALK e CHAINLINE 
• WARPWIRE

Catena dell'attacco

Figura 1: schema raffigurante la catena dell'attacco

Possibile esecuzione

• Sfruttamento iniziale: gli aggressori hanno eseguito scansioni di massa alla ricerca di dispositivi vulnerabili, vagliando la possibilità di avviare uno sfruttamento automatizzato. 
• Persistenza: dopo l'esito positivo dello sfruttamento, gli aggressori hanno installato diverse varianti di  web shell sui dispositivi presi di mira. Dopo aver guadagnato un punto di accesso, sono riusciti a rubare i dati di configurazione, modificare i file esistenti, scaricare file in remoto e invertire il tunneling dai dispositivi. Inoltre, hanno creato backdoor nei file di configurazione e hanno distribuito strumenti aggiuntivi.
• Ricognizione: hanno quindi effettuato una ricognizione di sistemi interni e applicazioni tramite connessioni proxy.
• Furto delle credenziali: hanno iniettato un malware personalizzato basato su JavaScript, chiamato WARPWIRE, in una pagina di accesso utilizzata dagli utenti per acquisire ed esfiltrare le credenziali in testo in chiaro.
• Movimento laterale:  hanno utilizzato il movimento laterale impiegando le credenziali compromesse per connettersi ai sistemi interni tramite RDP, SMB ed SSH. 
• Cancellazione delle prove: è stato osservato che gli aggressori hanno cancellato i log e addirittura ripristinato il sistema a uno stato "pulito" dopo aver distribuito i loro payload.
• Elusione (patch e rilevamento): in alcuni casi, gli aggressori sono riusciti a modificare lo strumento di controllo dell'integrità (ICT) per disabilitarlo e impedirgli di segnalare eventuali modifiche o aggiunte al sistema come misura per eludere il rilevamento. Lo strumento ZIPLINE utilizzato dagli hacker è in grado di aggirare il rilevamento dell'ICT aggiungendosi alla exclusion_list utilizzata da quest'ultimo. Inoltre, non appena gli attacchi sono stati rilevati e resi pubblici, gli aggressori si sono adattati rapidamente modificando gli strumenti per l'elusione del rilevamento. Di conseguenza, negli attacchi più recenti si osservano nuove varianti dell'attacco iniziale.

Cosa può fare Zscaler

La soluzione ZTNA (Zero Trust Network Access) nativa del cloud di Zscaler offre un accesso rapido e sicuro alle app private a tutti gli utenti, da qualsiasi luogo. Riduci la superficie di attacco e il rischio di subire il movimento laterale delle minacce: non dovrai più preoccuparti che gli indirizzi IP di accesso remoto siano esposti a Internet e potrai usufruire di connessioni sempre protette dall'interno verso l'esterno. Inoltre, distribuire e applicare policy di sicurezza uniformi, sia nel campus che per gli utenti in remoto, sarà molto più semplice.

Zscaler Private Access™ (ZPA) consente alle organizzazioni di proteggere l'accesso privato alle app da qualsiasi luogo. Connetti gli utenti alle app e mai alla rete grazie alla segmentazione da utente ad app basata sull'AI. Previeni il movimento laterale delle minacce con connessioni dall'interno verso l'esterno.

• Implementa una protezione completa dei dati e dalle minacce informatiche per le app private, con funzionalità integrate di protezione delle applicazioni, deception e protezione dei dati.

Figura 2: le vulnerabilità delle VPN aprono le porte alle minacce informatiche; proteggiti da questi rischi con un'architettura zero trust.

Lo zero trust è un'architettura radicalmente diversa da quelle basate sui firewall e sulle VPN. La sicurezza viene fornita come servizio dal cloud e all'edge, senza il backhauling del traffico verso complessi stack di dispositivi (sia hardware che virtuali). Fornisce una connettività sicura any-to-any in modalità uno a uno, ad esempio connettendo gli utenti direttamente alle applicazioni. Nessuna entità viene mai collocata sulla rete, ed è sempre applicato il principio dell'accesso a privilegi minimi. In altre parole, con lo zero trust la sicurezza e la connettività vengono separate efficacemente dalla rete, ed è quindi possibile aggirare le limitazioni degli approcci basati sul perimetro. Architettura zero trust:

• Riduce al minimo la superficie di attacco, eliminando firewall, VPN e indirizzi IP pubblici, non consentendo le connessioni in entrata e nascondendo le app dietro un cloud zero trust. 
• Previene le violazioni sfruttando la potenza del cloud per ispezionare tutto il traffico, incluso quello cifrato su larga scala, al fine di applicare le policy e bloccare le minacce in tempo reale.
• Previene la diffusione laterale delle minacce collegando le entità alle singole risorse IT invece di estendere l'accesso all'intera rete.
• Previene la perdita di dati applicando policy su tutti i potenziali percorsi di fuga (incluso il traffico cifrato), proteggendo i dati in transito, inattivi e in uso.

Inoltre, l'architettura zero trust consente di superare innumerevoli altri problemi legati ai firewall, alle VPN e alle architetture basate sul perimetro, consentendo di migliorare l'esperienza utente, diminuire la complessità operativa, far risparmiare denaro all'organizzazione e molto altro. 

Per proteggersi da questo tipo di attacchi, Zscaler ThreatLabz consiglia ai nostri clienti di implementare le seguenti funzionalità:

• Proteggere le applicazioni più importanti limitando il movimento laterale con Zscaler Private Access, che consente di stabilire policy di segmentazione da utente ad app basate sui principi dell'accesso a privilegi minimi, anche per i dipendenti e i collaboratori terzi.
• Limita l'impatto di una potenziale compromissione impedendo il movimento laterale tramite la microsegmentazione basata sull'identità.
• Prevenire lo sfruttamento delle applicazioni private da parte degli utenti compromessi, grazie all'ispezione completa inline del traffico delle app private con Zscaler Private Access.
• Utilizzare Advanced Cloud Sandbox per impedire la distribuzione dei malware sconosciuti nei payload di seconda fase.
• Rileva e blocca gli aggressori che tentano di muoversi lateralmente o di aumentare i propri privilegi attirandoli con esche che prendono la forma di server, applicazioni, directory e account utente con Zscaler Deception.
• Identificare e bloccare le attività dannose provenienti dai sistemi compromessi, instradando tutto il traffico dei server tramite Zscaler Internet Access.
• Limitare il traffico delle infrastrutture critiche a un elenco "consentito" di destinazioni ritenute attendibili.
• Ispezionare tutto il traffico SSL/TLS, anche se proviene da fonti attendibili.
• Attivare Advanced Threat Protection per bloccare tutti i domini noti di comando e controllo.
• Estendere la protezione di comando e controllo a tutte le porte e i protocolli con Advanced Cloud Firewall, che include anche i sistemi e le destinazioni di C&C emergenti.

Best practice

Seguire le direttive della CISA

Il rispetto tempestivo della Direttiva di emergenza della CISA sulle vulnerabilità di Ivanti è fondamentale per minimizzare l'impatto di queste falle nella sicurezza.

Implementare un'architettura zero trust 

Le aziende devono ripensare gli approcci tradizionali alla sicurezza sostituendo i dispositivi vulnerabili come le VPN e i firewall. Implementare una vera architettura zero trust, potenziata da modelli basati sull'IA e l'ML per bloccare e isolare il traffico dannoso e le minacce, è un passaggio critico e indispensabile. Inoltre, è necessario dare priorità alla segmentazione da utente ad applicazione, in modo che queste entità non vengano collocate sulla stessa rete. Ciò consente di evitare efficacemente il movimento laterale e di impedire agli aggressori di raggiungere le applicazioni più importanti. 

Misure proattive per tutelare l'ambiente aziendale

Alla luce delle recenti vulnerabilità che interessano Ivanti, è imperativo adottare le seguenti best practice per rafforzare l'organizzazione contro potenziali azioni di attacco.

• Riduci al minimo la superficie di attacco: rendi le app (e le VPN vulnerabili) invisibili a Internet e impossibili da compromettere, in modo che gli aggressori non possano ottenere l'accesso iniziale.
• Previeni le compromissioni iniziali: ispeziona tutto il traffico inline per bloccare automaticamente exploit zero-day, malware o altre minacce sofisticate.
• Applica il principio dei privilegi minimi: limita le autorizzazioni per utenti, traffico, sistemi e applicazioni utilizzando identità e contesto, e garantisci che solo gli utenti autorizzati possano accedere alle risorse specificate.
• Blocca gli accessi non autorizzati: usauna solida autenticazione a più fattori (MFA) per convalidare le richieste di accesso degli utenti.
• Elimina il movimento laterale: collega gli utenti direttamente alle app, non alla rete, e limita il raggio di azione di un potenziale incidente.
• Blocca gli utenti compromessi e le minacce interne: abilita l'ispezione e il monitoraggio inline per rilevare gli utenti compromessi con accesso alla tua rete, alle applicazioni private e ai dati.
• Previeni la perdita di dati: ispeziona i dati in transito e inattivi per bloccarne il furto durante un attacco.
• Implementa difese attive: sfrutta la tecnologia di deception con esche ed effettua quotidianamente la ricerca delle minacce per sventare e intercettare gli attacchi in tempo reale.
• Sviluppa una cultura della sicurezza: molte violazioni iniziano con la compromissione di un singolo account utente tramite un attacco di phishing. Dare priorità alla formazione periodica sulla consapevolezza in tema di sicurezza informatica può contribuire a ridurre questo rischio e a proteggere i dipendenti dalle violazioni. 
• Metti alla prova il tuo profilo di sicurezza: richiedi regolarmente valutazioni del rischio a terzi e conduci attività di purple teaming per identificare e rafforzare le lacune nel tuo programma di sicurezza. Richiedi ai tuoi fornitori di servizi e partner tecnologici di fare lo stesso e condividi i risultati di questi report con il tuo team di sicurezza.

Conclusione

In conclusione, i prodotti VPN  di Ivanti sono suscettibili a gravi minacce alla sicurezza, a causa di molteplici vulnerabilità 0-day che vengono sfruttate da hacker sostenuti da stati nazionali. La divulgazione iniziale ha rivelato CVE critiche che consentono l'accesso non autorizzato e l'immissione di comandi da remoto. Dopo il rilascio della patch di Ivanti, gli aggressori hanno rapidamente sfruttato due ulteriori falle per l'escalation dei privilegi. 

La CISA ha risposto con una direttiva consultiva e di emergenza, fissando alcune scadenze per mitigare i problemi originari. Con la scoperta di nuove vulnerabilità, e data l'assenza di patch, la CISA ha emesso una direttiva supplementare, imponendo alle agenzie federali di disconnettere le soluzioni Ivanti ICS e IPS dalle reti entro le 23:59 EST del 2 febbraio 2024.