Ein nationales Staatsgegenspieler wurde kürzlich dabei erwischt, Sicherheitslücken im Ivanti Cloud Service Appliance (CSA) auszunutzen, um bösartige Aktivitäten durchzuführen, wie von Fortinet FortiGuard Labs enthüllt wurde. Die Angreifer nutzten Zero-Day-Schwachstellen aus, um unbefugten Zugriff auf den CSA zu erlangen, Benutzer im System zu identifizieren und versuchten, Benutzeranmeldeinformationen zu erlangen.
Anstatt die Sicherheitsforscher direkt zu zitieren, ist offensichtlich, dass die fortgeschrittenen Gegner strategisch diese Schwachstellen genutzt haben, um den ersten Zugang zum Netzwerk des Opfers herzustellen.
Die identifizierten Schwachstellen umfassen eine Befehlseinschleusungs-Schwachstelle (CVE-2024-8190), eine Pfadtraversierungs-Schwachstelle (CVE-2024-8963) und ein authentifiziertes Befehlseinschleusungsproblem (CVE-2024-9380). Diese Schwachstellen wurden von den Bedrohungsakteuren ausgenutzt, um Befehle auszuführen und die Kontrolle über das System zu erlangen, was letztendlich zur Bereitstellung einer Webshell führte.
Darüber hinaus haben die Angreifer nach dem Infiltrieren des CSA eine SQL-Injection-Schwachstelle ausgenutzt, die Ivanti Endpoint Manager betrifft. Dies ermöglichte es ihnen, Fähigkeiten zur Ausführung von Remote-Code zu aktivieren, was die Bedeutung zeitnaher Patching-Maßnahmen und Wachsamkeit unterstreicht.
Um solche raffinierten Cyberbedrohungen zu bekämpfen, sollten Organisationen Sicherheitsmaßnahmen priorisieren, regelmäßige Schwachstellenbewertungen durchführen und zeitnah Patches anwenden, um kritische Cloud-Dienste vor potenziellen Verstößen zu schützen. Es ist von entscheidender Bedeutung, über sich entwickelnde Angriffstaktiken informiert zu bleiben und Verteidigungen zu stärken, um nationale Staatsangriffe in Cloud-Umgebungen zu vereiteln.
