Sikkerhetsforskere har identifisert Ivanti RESURGE-skadevare som fortsatt finnes på kompromitterte Connect Secure VPN-enheter. Trusselen ser ut til å kunne forbli sovende i berørte systemer, noe som gjør det mulig for angripere å gjenaktivere tilgangen lenge etter det opprinnelige innbruddet.
Oppdagelsen skaper bekymring for organisasjoner som bruker Ivanti Connect Secure-enheter til å håndtere fjernaksess til interne nettverk. Selv etter at sikkerhetsoppdateringer er installert, kan tidligere kompromitterte systemer fortsatt inneholde skjulte skadevarekomponenter.
Forskere advarer om at slike implantater kan gi angripere et langsiktig fotfeste i virksomhetsmiljøer.
Sårbarhet muliggjorde de første innbruddene
Angrepskampanjen startet med utnyttelse av en kritisk sårbarhet som påvirket Ivanti Connect Secure-enheter. Feilen gjorde det mulig for angripere å kjøre kode eksternt på sårbare VPN-apparater.
Siden disse systemene ligger i nettverkets ytterkant, ga vellykket utnyttelse direkte tilgang til interne autentiseringstjenester og nettverksinfrastruktur. Etter at angriperne fikk dette fotfestet, installerte de RESURGE-skadevaren for å opprettholde vedvarende tilgang til systemet.
Edge-enheter som VPN-gatewayer blir ofte attraktive mål fordi de håndterer autentiseringstrafikk og kobler eksterne brukere til interne systemer.
RESURGE-skadevare gir vedvarende tilgang
Ivanti RESURGE-skadevaren fungerer som en vedvarende bakdør som gir angripere fortsatt tilgang til kompromitterte enheter. Når skadevaren først er installert, kan trusselaktører utføre flere administrative handlinger på systemet.
Angripere kan samle inn innloggingsopplysninger, opprette nye brukerkontoer, tilbakestille passord og øke egne rettigheter. Disse funksjonene gjør det mulig å opprettholde kontroll over enheten og potensielt bevege seg dypere inn i nettverket.
Sikkerhetsanalytikere påpeker at angripere ofte bruker kompromitterte edge-enheter som utgangspunkt for bredere angrep mot intern infrastruktur.
Sovende skadevare unngår oppdagelse
En av de mest bekymringsfulle egenskapene ved RESURGE er evnen til å forbli sovende i kompromitterte systemer. I stedet for kontinuerlig kommunikasjon med eksterne servere venter skadevaren på spesialutformet nettverkstrafikk før den aktiveres.
Denne utformingen hjelper implantatet med å unngå oppdagelse av tradisjonelle overvåkingssystemer. Siden det ikke genererer mistenkelig aktivitet kontinuerlig, kan sikkerhetsteam overse kompromitteringen under rutinemessig overvåking.
Forskere sier at denne oppførselen gjør det mulig for angripere å vende tilbake til tidligere kompromitterte enheter måneder etter det opprinnelige innbruddet.
Myndigheter advarer om vedvarende risiko
Cybersikkerhetsmyndigheter har publisert oppdatert veiledning som advarer organisasjoner om at tidligere kompromitterte Ivanti-enheter fortsatt kan inneholde skjulte implantater. Selv systemer som har mottatt sikkerhetsoppdateringer kan være påvirket dersom angripere installerte skadevare før oppdateringen ble tatt i bruk.
Sikkerhetseksperter anbefaler at berørte organisasjoner gjennomfører grundige integritetskontroller av de aktuelle enhetene. I noen tilfeller kan det være nødvendig å gjenoppbygge systemer fra pålitelige systembilder for å sikre at ingen vedvarende skadevare fortsatt finnes.
Organisasjoner bør også gjennomgå tilgangslogger og overvåke autentiseringsaktivitet for uvanlig oppførsel som kan indikere fortsatt tilgang for angripere.
Konklusjon
Oppdagelsen av Ivanti RESURGE-skadevare viser de langsiktige risikoene knyttet til angrep på nettverkets edge-enheter. Ved å utnytte en kritisk sårbarhet og installere skjulte implantater kan angripere opprettholde tilgang lenge etter det opprinnelige innbruddet.
Organisasjoner som bruker Ivanti Connect Secure-enheter bør gjennomføre grundige sikkerhetskontroller og bekrefte at systemene deres er fullstendig renset. Uten en dypere undersøkelse kan sovende skadevare gjøre det mulig for angripere å få tilgang til bedriftsnettverk igjen måneder etter den opprinnelige kompromitteringen.
0 svar til “Ivanti RESURGE-skadevare funnet sovende på Connect Secure-enheter”