Las redes protegidas por este tipo de VPN están bajo ataque activo por parte de piratas informáticos con buenos recursos que explotan vulnerabilidades críticas que les otorgan un control total sobre los dispositivos conectados a la red.
El fabricante del hardware reveló la vulnerabilidad rastreada como CVE-2015-0282, El miércoles Y ha advertido que algunos usuarios están siendo explotados activamente. La vulnerabilidad, que se está explotando para permitir a los piratas informáticos ejecutar código malicioso sin requerir autenticación, existe en las puertas de enlace Connect Secure VPN y Policy Secure & ZTA de la empresa. Ivanti lanzó un parche de seguridad al mismo tiempo. Actualiza los dispositivos seguros que se conectan a la versión 22.7R2.5.
Bien escrito, versátil.
Según Mandiant, proveedor de seguridad propiedad de Google, la vulnerabilidad había sido explotada activamente contra “múltiples dispositivos de seguridad Connect comprometidos” desde mediados de diciembre, aproximadamente tres semanas antes de que saliera a la luz el entonces día cero. Después de explotar la vulnerabilidad, los atacantes instalan dos paquetes de malware nunca antes vistos, rastreados por nombres. gancho seco Y cara En algunos dispositivos comprometidos.
FaceJam es un script de shell bash versátil y bien escrito. Primero instala un shell web, que otorga a los piratas informáticos remotos control exclusivo de los dispositivos. Inyecta una función en el mecanismo Connect Secure Update destinada a simular el proceso de actualización.
“Si un administrador de ICS intenta actualizar, la función mostrará visualmente el proceso de actualización confiable, mostrando cada paso con una variedad de puntos para simular el proceso en ejecución”, dice Mandiant. Dicho. La organización continuó:
Facejam inyecta una función maliciosa llamada Processupgragradeexple() en el archivo /home/perl/dsupgrade.pm. La actividad pretende simular un proceso de actualización que consta de 13 pasos, cada uno de los cuales lleva una cantidad de tiempo predefinida. Si un administrador de ICS intenta actualizar, la función muestra un proceso de actualización visualmente convincente, mostrando cada paso con diferentes números de puntos para simular el proceso en ejecución. Se proporcionan más detalles en la sección Persistencia de la actualización del sistema.
Los atacantes también están utilizando un malware visto anteriormente. Sacar los ovarios a En algunos dispositivos. Una de sus funciones es la herramienta de verificación de integridad (ICT) integrada en las versiones recientes de VPN, que está diseñada para verificar archivos del dispositivo en busca de adiciones no autorizadas. Spanant hace esto reemplazando el hash criptográfico SHA256 adivinado del archivo principal con su hash después de haber sido infectado. En consecuencia, cuando la herramienta se ejecute en dispositivos comprometidos, los administradores verán la siguiente pantalla:
