Show threadNot SimonApr 4, 2024

I buried the lede in not mentioning that UNC5291 is assessed with medium confidence to be associated with Volt Typhoon, a Chinese state-sponsored Advanced Persistent Threat (APT).  See related The Record reporting: Volt Typhoon and 4 other groups targeting US energy and defense sectors through Ivanti bugs

#Ivanti #ConnectSecure #vulnerability #cyberespionage #China #activeexploitation #eitw #zeroday #KEV #CISA #CVE_2023_46805 #CVE_2024_21887 #CVE_2024_21893 #UNC5221 #UNC5266 #UNC5330 #UNC5337 #UNC5291

Volt Typhoon and 4 other groups targeting US energy and defense sectors through Ivanti bugs

Several China-based hacking groups, including Volt Typhoon, are targeting a trio of vulnerabilities affecting IT giant Ivanti alongside multiple cybercriminal operations.

Not SimonApr 4, 2024

Mandiant releases part 4 of the Ivanti Connect Secure incident response investigation. They detail different types of post-exploitation activity across their IR engagements. Chinese threat actors have a growing knowledge of Ivanti Connect Secure in abusing appliance-specific functionality to perform actions on objective. They highlight FIVE Chinese threat actors: UNC5221, UNC5266, UNC5330, UNC5337, and UNC5291 abusing a mix of CVE-2023-46805, CVE-2024-21887, and CVE-2024-21893. New TTPs, new malware families and new IOC: 🔗 https://cloud.google.com/blog/topics/threat-intelligence/ivanti-post-exploitation-lateral-movement

EDIT: For your situational awareness, it's my understanding that future Mandiant articles will be located at https://cloud.google.com/blog/topics/threat-intelligence/

#Ivanti #ConnectSecure #vulnerability #cyberespionage #China #activeexploitation #eitw #zeroday #KEV #CISA #CVE_2023_46805 #CVE_2024_21887 #CVE_2024_21893 #UNC5221 #UNC5266 #UNC5330 #UNC5337 #UNC5291

Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies | Google Cloud Blog

We have conducted multiple incident response engagements across a range of industry verticals and geographic regions.

Google Cloud Blog
KR. Laboratories 🇺🇦Feb 14, 2024

Невеличкий PDF-звіт від компанії Hive Pro, який проливає світло на атаку на сервери компанії Ivanti.

https://www.hivepro.com/wp-content/uploads/2024/02/Ivanti-Addresses-Zero-Day-Vulnerability-Exploited-in-Attacks_TA2024042.pdf

Ivanti — це американська IT-компанія з Юти, яка розробляє програмні рішення з кібербезпеки, для управління ІТ-послугами та активами.

В Лютому 2024 були оприлюднені дві критичні вразливості CVE-2024-21893 і CVE-2024-21888. Невдовзі стало відомо, що хакери провели SSRF-атаку на сервери Ivanti.

Зловмисники знайшли діру на боці сервера, а саме в його компоненті SAML, який заснований на протоколі XML і відповідає за обмін ідентифікаторами автентифікації та авторизації.

Хакери скористались недостатньою валідацією вхідних даних і провели експлойт.

Успішна експлуатація цієї діри привела до встановлення бекдора DSLog, який дозволяє зловмисникам віддалено виконувати команди від імені root на зламаних серверах Ivanti.

Якщо підсумувати, то хакери просто відправляли шкідливі запити (malicious requests), які обманом змусили сервер надсилати їх до своїх внутрішніх ресурсів (без перевірки) й отримати таким чином доступ до сенситивних, конфіденційних даних. Все по класиці.

Важливо відзначити, що ця вразливість сьогодні не рідкість - SSRF набирає потужних обертів і експлуатується повсюдно. На сьогодні чимало веб-додатків і хмарних платформ є вразливими до SSRF (Server-Side Request Forgery).

#ivanti #cybersecurity #securitynews #hacking #hack #hackers #servers #infrastructure #itsecurity #reports #research #кібербезпека #CVE_2024_21893 #CVE_2024_21888 #ssrf

Caitlin CondonFeb 2, 2024
Rapid7 has a full analysis of the #Ivanti #CVE_2024_21893 exploit chain here courtesy of @stephenfewer. Interestingly, it looks like this may actually be n-day from last year: https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893/rapid7-analysis
CVE-2024-21893 | AttackerKB

On January 31, 2024, Ivanti disclosed CVE-2024-21893, affecting Ivanti Connect Secure and Ivanti Policy Secure. The vulnerability is described as a server side…

AttackerKB
Stacey HolleranFeb 2, 2024
Rapid7 has published its AttackerKB analysis for #CVE_2024_21893 an SSRF vulnerability in the SAML component of Ivanti Connect Secure, that has recently been exploited in the wild, allowing attackers bypass the mitigation for an earlier exploit chain. https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893
CVE-2024-21893 | AttackerKB

On January 31, 2024, Ivanti disclosed CVE-2024-21893, affecting Ivanti Connect Secure and Ivanti Policy Secure. The vulnerability is described as a server side…

AttackerKB
 decioFeb 2, 2024

𝗚𝗘𝗧 /𝗵𝗮𝗰𝗸%𝟮𝟬𝘁𝗵𝗲%𝟮𝟬𝗽𝗹𝗮𝗻𝗲𝘁 𝗛𝗧𝗧𝗣/𝟭.𝟬 😅​ (​ )

Descriptif par Rapid7 des modalités d'exploitation de la dernière vulnérabilité CVE-2024-21893 déclarée par Ivanti, comme exploitée dans des attaques ciblées.
(mitigation disponible sur le site de l'éditeur)
👇​
https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893/rapid7-analysis?referrer=notificationEmail

#cyberveille #CVE_2024_21893

CVE-2024-21893 | AttackerKB

On January 31, 2024, Ivanti disclosed CVE-2024-21893, affecting Ivanti Connect Secure and Ivanti Policy Secure. The vulnerability is described as a server side…

AttackerKB