Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Dwa zero daye umożliwiają zdalne przejęcie kontroli nad urządzeniem VPN (Ivanti Connect Secure / Pulse Secure). Podatności są już wykorzystywane w dziczy

11 stycznia 2024, 13:35 | W biegu | komentarzy 12
Tagi:

Systemy VPN często udostępniane są do Internetu – do do nich podłączają się użytkownicy, którzy następnie się uwierzytelniają i otrzymują dostęp do sieci korporacyjnych. A co jeśli taki system VPN ma podatność, niewymagającą uwierzytelnienia, a umożliwiającą przejęcie pełnej kontroli nad nim?

Taki przypadek opisuje Volexity, wskazując na dwie luki, które są wykorzystywane w dziczy:

  • CVE-2023-46805 (ominięcie uwierzytelnienia)
  • CVE-2024-21887 (command injection w panelu webowym urządzenia, co umożliwia wykonywanie dowolnych poleceń w OS, na którym pracuje VPN)

Dobra, ale co może zrealizować atakujący? Zacytujmy dłuższy fragment:

W tym konkretnym przypadku osoba atakująca wykorzystała exploity do: kradzieży danych konfiguracyjnych, zmodyfikowania istniejących plików i odpalenia reverse shella na urządzeniu ICS VPN. Firma Volexity zaobserwowała, jak atakujący modyfikuje komponenty ICS i wprowadza zmiany w systemie, aby ominąć narzędzie sprawdzania integralności ICS. Atakujący zbackdoorował jeden ze standardowych plików CGI (compcheck.cgi) na urządzeniu ICS VPN, aby umożliwić wykonanie poleceń. Co więcej, osoba atakująca zmodyfikowała również plik JavaScript używany przez komponent Web SSL VPN na urządzeniu w celu odpalenia keyloggera i wydobywania poświadczeń logujących się do urządzenia użytkowników.

Dalej, wykradzione dane używane były do logowania się do wewnętrznych systemów przez RDP/SMB/SSH.

When combined, these two vulnerabilities make it trivial for attackers to run commands on the system. In this particular incident, the attacker leveraged these exploits to steal configuration data, modify existing files, download remote files, and reverse tunnel from the ICS VPN appliance. Volexity observed the attacker modifying legitimate ICS components and making changes to the system to evade the ICS Integrity Checker Tool. Notably, Volexity observed the attacker backdooring a legitimate CGI file (compcheck.cgi) on the ICS VPN appliance to allow command execution. Further, the attacker also modified a JavaScript file used by the Web SSL VPN component of the device in order to keylog and exfiltrate credentials for users logging into it. (…) Lateral movement using compromised credentials to connect to internal systems via RDP, SMB, and SSH

Pełną analizę opisanego włamania oraz IoC można znaleść tutaj. Producent udostępnił również łatki, ale badacze wskazują, że samo załatanie nie usuwa ew. włamania (jeśli miało ono miejsce) – uniemożliwia tylko ewentualne przyszłe ataki.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. syd

    Jeśli vpn to tylko wireguard. Ale wiadomo , korpole muszą zapłacić za zamkniete rozwiązanie bo wtedy jest bezpiecznie i można wrzucić w koszty.

    Odpowiedz
    • Grzesiek

      Tiaaa, ewangelistom Wireguarda to się jednak nie da przetłumaczyć. WG to jest obecnie nieskalowalny VPN który nie wspiera RADIUSa / LDAP / SAMLa . W obecnej formie budowa konfigu i deployment klienta to epoka kamienia łupanego. Na rynku istnieją większe środowiska niż warzywniak Pani Jadzi, które oczekują narzędzi i integracji z istniejącymi systemami IAM / SSO / MFA a nie grzebania patykiem w piasku. A jeśli to taki otwarty protokół to niech jego autor się ogarnie i wystąpi o RFC, wtedy duże korpo i cała reszta rynku się nim zainteresuje tak jak to zrobili z IPsec

      Odpowiedz
      • Sławek

        jeśli już mamy być dokładni to WG wspiera LDAP bez żadnych „czarów marów”, co do SAMla nie rozpoznawałem tematu ale Radius’a da się
        skonfigurować do współpracy przy autoryzacji i uwierzytelnianiu nawet bez dodatków, wspiera również MFA.

        Odpowiedz
    • Moon84

      Korpoludy się boją czegokolwiek co nie jest kliku kliku, dalej, dalej dla matołków, a najlepiej żeby było możliwie bez obsługowe, a jak usłyszą GNU/Linux czy BSD to narzekają że to trzeba jakieś komendy pisać, w corpo zatrudnia się matołków i daje im się łatwe w obsłudze narzędzia, bo po 1. Można im zapłacić dużo mniej mimo że matołek pracuje w IT, po 2. Łatwo matołka co umie klikać zastąpić w razie co innym matołkiem co umie coś klikać, jak potrzebują kogoś kto realnie coś umie to szukają firmy jako podwykonawcy.

      Odpowiedz
      • Bruh

        Korpoludy jak to określasz często są wykwalifikowanymi inżynierami w całkowicie innej dziedzinie niż networking. Przecież pracownik przykładowo wytwarzający oprogramowanie dla branży motoryzacyjnej nie będzie spędzał miesięcy ucząc się unixowych komend, aby być pro cyber security znawcą. Dla niego liczy się szybkie kliku kliku w celu połączenia się z korpo netem i skupienie się na swojej pracy. Gdyby tak każdy miał się znać na wszystkim to wypadkowa efektywność byłaby o kant stołu rozbić.

        Odpowiedz
        • Ziemniak

          Dodałbym jeszcze, że „korpoludy” często w ogóle nie są żadnymi inżynierami, tylko Grażynkami z działu sprzedaży i jak dasz im coś trudniejszego do ustawienia, to więcej będzie cie kosztować zespół IT niż ta sprzedaż wypracuje zysku. Nie rozumiem trudności w zrozumieniu, że komputer jest NARZĘDZIEM pracy i powinien możliwie jak najmniej przeszkadzać w jej wykonaniu, a użytkownik powinien móc skupić się na swojej dziedzinie, a nie na walce ze sprzętem. Widocznie niektórzy mają problem wyobrazić sobie środowisko większe, niż dwie maliny w piwnicy.

          Odpowiedz
    • Bart

      Taa to niestety prawda, wielokrotnie się spotkałem ze stanowiskiem płynącym z działów security w różnych korpo że „free software is not considered secure”.

      Odpowiedz
    • aaaaaaaaaaa

      Jakie są przewagi WireGuarda nad OpenVPN?

      Odpowiedz
    • mhm.

      @Grzesiek o tailscale albo ansible słyszałeś może?
      @Skirge podobno wireguard jest szybszy, no i nie pozwala na wybranie sposobu szyfrowania. OpenVPN wolniejszy, chociaż nie widzę różnicy zbytniej przy zastosowaniu komercyjnym.

      Odpowiedz
  2. Skirge

    In the wild

    Odpowiedz
  3. Rafal

    Najlepsze jest zawsze cusomowe rozwiązanie na które nikt nie wpadnie. Sstp na jakimś dziwnym porcie ze starym dobrym zabezpieczeniem port knocking i z bani.

    Odpowiedz
  4. Nie bijcie, proszę!

    Cześć, jestem korpolem. Prowadzę jednoosobową firmę i sama jestem odpowiedzialna za bezpieczeństwo mojego sprzętu. Nie mam wiedzy w tym obszarze, dlatego śledzę artykuły na Sekuraku.
    Czy mogę prosić o Waszą opinię – jak AVG VPN plasowałby się wśród marek, które wymieniliście? Mogę mu ufać?
    Dzięki i pozdrawiam,
    Beata

    Odpowiedz

Odpowiedz