Säkerhetsforskare har identifierat Ivanti RESURGE-skadlig kod som fortfarande finns kvar på komprometterade Connect Secure VPN-enheter. Hotet verkar kunna ligga vilande i drabbade system, vilket gör att angripare kan återaktivera åtkomst långt efter den ursprungliga intrångsattacken.
Upptäckten väcker oro för organisationer som använder Ivanti Connect Secure-enheter för att hantera fjärråtkomst till interna nätverk. Även efter att säkerhetsuppdateringar har installerats kan tidigare komprometterade system fortfarande innehålla dolda skadliga komponenter.
Forskare varnar för att dessa implantat kan ge angripare ett långsiktigt fotfäste i företagsmiljöer.
Sårbarhet möjliggjorde de första intrången
Attackkampanjen började med exploatering av en kritisk sårbarhet som påverkade Ivanti Connect Secure-enheter. Felet gjorde det möjligt för angripare att köra kod på distans på sårbara VPN-apparater.
Eftersom dessa system ligger vid nätverkets ytterkant gav en lyckad exploatering direkt åtkomst till interna autentiseringstjänster och nätverksinfrastruktur. När angripare väl hade fått detta fotfäste installerade de RESURGE-skadlig kod för att behålla sin närvaro i systemet.
Edge-enheter som VPN-gateways blir ofta attraktiva mål eftersom de hanterar autentiseringstrafik och kopplar samman fjärranvändare med interna system.
RESURGE-malware möjliggör ihållande åtkomst
Ivanti RESURGE-malware fungerar som en persistent bakdörr som ger angripare fortsatt åtkomst till komprometterade enheter. När skadlig kod väl har installerats kan hotaktörer utföra flera administrativa åtgärder i systemet.
Angripare kan samla in inloggningsuppgifter, skapa nya användarkonton, återställa lösenord och höja sina behörigheter. Dessa funktioner gör det möjligt för dem att behålla kontroll över enheten och potentiellt röra sig djupare in i nätverket.
Säkerhetsanalytiker påpekar att angripare ofta använder komprometterade edge-enheter som startpunkter för bredare attacker mot intern infrastruktur.
Vilande skadlig kod undviker upptäckt
En av de mest oroande egenskaperna hos RESURGE är dess förmåga att ligga vilande i komprometterade system. I stället för att kontinuerligt kommunicera med externa servrar väntar skadlig kod på särskilt utformad nätverkstrafik innan den aktiveras.
Denna design hjälper implantatet att undvika upptäckt av traditionella övervakningssystem. Eftersom det inte hela tiden genererar misstänkt aktivitet kan säkerhetsteam missa intrånget under rutinmässig övervakning.
Forskare säger att detta beteende gör det möjligt för angripare att återvända till tidigare komprometterade enheter månader efter det ursprungliga intrånget.
Myndigheter varnar för fortsatt risk
Cybersäkerhetsmyndigheter har utfärdat uppdaterade riktlinjer som varnar organisationer för att tidigare komprometterade Ivanti-enheter fortfarande kan innehålla dolda implantat. Även system som har uppdaterats kan vara påverkade om angripare installerade skadlig kod innan patchen tillämpades.
Säkerhetsexperter rekommenderar att organisationer genomför djupare integritetskontroller av berörda enheter. I vissa fall kan det vara nödvändigt att bygga om system från betrodda systemavbilder för att säkerställa att ingen ihållande skadlig kod finns kvar.
Organisationer bör också granska åtkomstloggar och övervaka autentiseringsaktivitet för ovanligt beteende som kan tyda på fortsatt angriparåtkomst.
Slutsats
Upptäckten av Ivanti RESURGE-skadlig kod visar de långsiktiga riskerna med attacker mot nätverkets edge-enheter. Genom att utnyttja en kritisk sårbarhet och installera dolda implantat kan angripare behålla åtkomst långt efter det första intrånget.
Organisationer som använder Ivanti Connect Secure-enheter bör genomföra noggranna säkerhetskontroller och verifiera att deras system är fullständigt sanerade. Utan en djupare granskning kan vilande skadlig kod göra det möjligt för angripare att återfå åtkomst till företagsnätverk månader efter den ursprungliga komprometteringen.
0 svar till ”Ivanti RESURGE-skadlig kod hittas vilande på Connect Secure-enheter”