Les pirates exploitent une vulnérabilité de falsification de requête côté serveur (SSRF) dans les passerelles Ivanti Connect Secure, Policy Secure et ZTA pour déployer la nouvelle porte dérobée DSLog sur des appareils vulnérables.

La vulnérabilité, suivie sous le numéro CVE-2024-21893, a été révélée comme un jour zéro activement exploité le 31 janvier 2024, Ivanti partageant des mises à jour de sécurité et des conseils d’atténuation.

La faille affecte le composant SAML des produits mentionnés et permet aux attaquants de contourner l’authentification et d’accéder à des ressources restreintes sur les passerelles Ivanti exécutant les versions 9.x et 22.x.

Les mises à jour qui résolvent le problème sont Ivanti Connect Secure versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 et 22.5R2.2, Ivanti Policy Secure version 22.5R1.1 et ZTA version 22.6R1.3.

Le 5 février 2024, le service de surveillance des menaces Shadowserver a signalé avoir vu plusieurs attaquants tenter de tirer parti de la faille, certains utilisant des exploits de preuve de concept (PoC) précédemment publiés par Rapid7, le taux de réussite étant inconnu à l’époque.

Un nouveau rapport d’Orange Cyberdefense confirme l’exploitation réussie de CVE-2024-21893 pour installer une nouvelle porte dérobée nommée DSLog qui permet aux auteurs de menaces d’exécuter des commandes sur des serveurs Ivanti compromis à distance.

Orange indique avoir repéré cette nouvelle porte dérobée pour la première fois le 3 février 2024, après avoir analysé une appliance compromise qui avait implémenté l’atténuation XML proposée par Ivanti (bloquant tous les points de terminaison d’API) mais n’avait pas appliqué le correctif.

La porte dérobée DSLog
En examinant les journaux de l’appareil Invanti compromis, les chercheurs d’Orange ont découvert qu’une porte dérobée avait été injectée dans la base de code de l’appliance en émettant des demandes d’authentification SAML contenant des commandes codées.

Ces commandes exécutaient des opérations telles que la sortie d’informations système dans un fichier accessible au public (index2.txt), indiquant que les attaquants visaient à effectuer une reconnaissance interne et à confirmer leur accès root.

Les requêtes SAML suivantes ont montré des tentatives pour sécuriser les autorisations de lecture / écriture du système de fichiers sur le périphérique violé, détecter les modifications apportées à un script de journalisation légitime (DSLog.pm), et injecter la porte dérobée si la chaîne indiquant la modification est manquante.

Injection de porte dérobée dans le fichier journal DS

La porte dérobée est insérée dans le fichier DSLog, responsable de la journalisation de divers types de requêtes Web authentifiées et de journaux système.

Les attaquants ont utilisé un hachage SHA256 unique par appliance comme clé API, nécessitant ce hachage dans l’en-tête HTTP User-Agent pour l’exécution de la commande. Orange explique qu’aucun hachage ne peut être utilisé pour contacter la même porte dérobée sur un autre appareil.

La fonctionnalité principale de la porte dérobée est d’exécuter des commandes en tant que root. Orange indique que la porte dérobée DSLog peut exécuter « toutes les commandes » sur l’appareil violé reçues via des requêtes HTTP par les attaquants, la commande étant incluse dans un paramètre de requête nommé « cdi ».’

Les requêtes HTTP portent le hachage SHA256 spécifique qui correspond au périphérique contacté, qui sert également de clé pour authentifier la requête auprès de la porte dérobée.

Les chercheurs notent que parce que le shell Web ne renvoie pas d’état/de code lorsqu’il tente de le contacter, il est particulièrement furtif.

Orange n’a pas non plus été en mesure de déterminer le schéma utilisé pour le calcul du hachage SHA256 et a noté que ».les journaux d’accès ont été effacés sur plusieurs appliances compromises pour masquer les activités des attaquants.

Malgré cela, les chercheurs ont découvert près de 700 serveurs Ivanti compromis en examinant d’autres artefacts, tels que les fichiers texte « index » du répertoire  » hxxp://{ip}/dana-na/imgs/ ».

Chronologie de la découverte de la porte dérobée de DSLog

Environ 20% de ces terminaux étaient déjà affectés par des campagnes antérieures, tandis que d’autres n’étaient vulnérables qu’en raison de l’absence de correctifs ou d’atténuations supplémentaires.

Il est recommandé de suivre les dernières recommandations d’Ivanti pour atténuer toutes les menaces ciblant les produits du fournisseur exploitant cette SSRF ou l’une des autres vulnérabilités récemment divulguées affectant les appareils Ivanti.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *