Sommario
Gli hacker stanno sfruttando una vulnerabilità di Server-Side Request Forgery (SSRF) nei gateway Ivanti Connect Secure, Policy Secure e ZTA per installare un nuovo backdoor chiamato DSLog su dispositivi vulnerabili. La vulnerabilità, identificata come CVE-2024-21893, è stata resa nota il 31 gennaio 2024 come zero-day attivamente sfruttato, con Ivanti che ha fornito aggiornamenti di sicurezza e consigli per la mitigazione.
Impatto della Vulnerabilità
Questa vulnerabilità colpisce il componente SAML dei prodotti menzionati, consentendo agli aggressori di eludere l’autenticazione e accedere a risorse ristrette sui gateway Ivanti che eseguono le versioni 9.x e 22.x. Gli aggiornamenti che risolvono il problema includono varie versioni di Ivanti Connect Secure, Ivanti Policy Secure e ZTA.
Sfruttamento della Vulnerabilità
Il servizio di monitoraggio delle minacce Shadowserver ha segnalato l’osservazione di numerosi attacchi che tentano di sfruttare la vulnerabilità, alcuni utilizzando exploit proof-of-concept (PoC) precedentemente pubblicati da Rapid7. Tuttavia, il tasso di successo di questi tentativi non era noto al momento della segnalazione.
Scoperta del Backdoor DSLog
Un rapporto di Orange Cyberdefense conferma lo sfruttamento riuscito di CVE-2024-21893 per installare il backdoor DSLog, che consente agli attori della minaccia di eseguire comandi a distanza sui server Ivanti compromessi. Orange ha rilevato per la prima volta questo backdoor il 3 febbraio 2024, analizzando un dispositivo compromesso che aveva implementato la mitigazione XML proposta da Ivanti ma non aveva applicato la patch.
Funzionalità del Backdoor DSLog
La backdoor DSLog è stato iniettato nella base di codice dell’apparecchio compromesso tramite richieste di autenticazione SAML contenenti comandi codificati, consentendo operazioni come l’output delle informazioni di sistema su un file accessibile pubblicamente. Il backdoor utilizza un hash SHA256 unico per appliance come chiave API, richiedendo questo hash nell’intestazione HTTP User-Agent per l’esecuzione dei comandi.
Raccomandazioni per la Mitigazione
È consigliato seguire le ultime raccomandazioni di Ivanti per mitigare tutte le minacce che mirano ai prodotti del fornitore sfruttando questa vulnerabilità SSRF o qualsiasi altra vulnerabilità recentemente divulgata che colpisce i dispositivi Ivanti.
