Eind vorig jaar zijn meerdere organisaties het slachtoffer van aanvallen geworden waarbij meerdere kwetsbaarheden in Ivanti Cloud Service Appliances (CSA) werden gecombineerd. Dat laten de FBI en het Amerikaanse cyberagentschap CISA in een document weten (pdf). Op het moment van de aanvallen waren er geen beveiligingsupdates voor de kwetsbaarheden beschikbaar.

Via de CSA kunnen organisaties software uitrollen, updates installeren en op afstand problemen oplossen op door de organisatie beheerde laptops, tablets, smartphones en andere systemen. Een gecompromitteerde CSA kan dan ook vergaande gevolgen voor een organisatie hebben. In september waarschuwde Ivanti voor twee actief aangevallen kwetsbaarheden, aangeduid als CVE-2024-8963 en CVE-2024-8190. Het ging om een path traversal-lek waardoor het mogelijk is afgeschermde features van de appliance te gebruiken. De andere kwetsbaarheid maakt command injection mogelijk en laat aanvallers willekeurige commando's op het systeem uitvoeren.

In oktober kwam Ivanti met updates voor twee andere actief aangevallen kwetsbaarheden CVE-2024-9379 en CVE-2024-9380 die SQL-injection en command injection mogelijk maken. Via de beveiligingslekken kunnen aanvallers op afstand code uitvoeren, inloggegevens stelen en webshells installeren om toegang tot de systemen te behouden en verdere aanvallen uit te voeren, aldus de FBI en het CISA.

Exploit chains

De Amerikaanse overheidsdiensten beschrijven twee 'exploit chains' die tegen organisaties met Cloud Service Appliances werden ingezet. Bij de eerste exploitketen werden CVE-2024-8963, CVE-2024-8190 en CVE-2024-9380 ingezet. Voor de tweede exploit chain werden CVE-2024-8963 en CVE-2024-8963 gebruikt. De FBI en het CISA ontvingen informatie van drie niet nader genoemde aangevallen organisaties. Die stelden dat hun appliances succesvol waren gecompromitteerd, maar verdere activiteiten door een snelle respons konden worden voorkomen.

Bij de eerste aangevallen organisatie werd de aanval opgemerkt nadat een systeembeheerder had ontdekt dat erop vreemde wijze gebruikersaccounts waren aangemaakt. De detectie van een base64 encoded script voor het genereren van een webshell zorgde ervoor dat de tweede organisatie de aanval opmerkte. De derde organisatie gebruikte de Indicators of Compromise (IoC's) van de eerst twee organisaties om de aanvallers op de eigen appliances te ontdekken.

IoC's zijn bijvoorbeeld door aanvallers gebruikte ip-adressen, domeinnamen en bestanden waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd. De FBI en het CISA adviseren organisaties om naar de laatste CSA-versie te updaten en in het document beschikbaar gestelde IoC's te gebruiken voor het detecteren van eventuele aanvallers.