悪用している攻撃者

• Volexity
  • UTA0178 (中国のAPTと推定)
• Mandiant
  • UNC5221

観測時期

• 2023年12月初め

脆弱性

• CVE-2023-46805
  • 認証バイパス
• CVE-2024-21887
  • コマンドインジェクション

マルウェア/ツール

• マルウェア
  • ZIPLINE
    • libsecure.soのaccept関数をハイジャックして動作するバックドア
  • LIGHTWIRE
    • Perl CGIで書かれたwebshell
  • WIREFIRE
    • Pythonで書かれたwebshell
  • WARPWIRE
    • Javascriptで書かれた認証情報窃取ツール
  • THINSPOOL
    • シェルスクリプトで書かれたLIGHTWIREのドロッパー
  • GLASSTOKEN
    • webshell
• ツール
  • pySoxy
  • BusyBox

検知

• VPNアプライアンスからの不審な通信痕跡
• VPNログの調査
• Ivantiの提供するIntegrity Checkerによる確認
  • https://forums.ivanti.com/s/article/KB44755

脆弱有無の確認

• REST APIの/api/v1/configuration/users/user-roles/user-role/rest-userrole1/web/web-bookmarks/bookmarkで空のレスポンスの403応答が返ってきた場合、デバイスが脆弱なままの可能性

公開情報

• Ivanti

  • https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

• JPCERT

  • https://www.jpcert.or.jp/at/2024/at240002.html

• Volexity

  • https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
  • https://github.com/volexity/threat-intel/tree/main/2024/2024-01-10%20Ivanti%20Connect%20Secure

• Mandiant

  • https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
    • 脆弱性を悪用した後に使用されるマルウェアについて解説

• watchTowr

  • https://labs.watchtowr.com/welcome-to-2024-the-sslvpn-chaos-continues-ivanti-cve-2023-46805-cve-2024-21887/
    • 脆弱性のある箇所を特定するためのアプローチを解説