cutting-edge - RunkIntel

# Cutting Edge > [!danger] Zero-Days em VPN Ivanti - Espionagem com Nexo China > **Cutting Edge** explorou dois zero-days em Ivanti Connect Secure (CVE-2023-46805 + CVE-2024-21887) para RCE nao autenticado em gateways VPN, com **persistência pos-patch**: web shells sobrevivem a atualizacoes de software, exigindo factory reset para erradicacao. O UNC5221 conduziu varredura global e explorou dispositivos seletivamente antes mesmo da divulgacao pública das vulnerabilidades. ## Visão Geral **Cutting Edge** (MITRE C0029) foi uma campanha de espionagem cibernetica de alto impacto conduzida por **UNC5221** (também rastreado como UTA0178) e **UNC5325** - atores com suspeita de nexo a China avaliados pela Mandiant. A campanha teve inicio em dezembro de 2023 com a exploração de zero-days criticos em appliances **Ivanti Connect Secure VPN** - um dos vetores de acesso inicial mais impactantes documentados em 2024. As vulnerabilidades exploradas formavam uma cadeia devastadora: [[cve-2023-46805|CVE-2023-46805]] (bypass de autenticação) encadeado com [[cve-2024-21887|CVE-2024-21887]] (command injection) resultava em execução remota de código sem autenticação - qualquer dispositivo Ivanti Connect Secure exposto a internet era exploravel. Posteriormente, o UNC5325 passou a explorar também [[cve-2024-21893|CVE-2024-21893]] (SSRF no componente SAML), amplificando o escopo da campanha após a divulgacao pública. O arsenal tecnico foi extenso e customizado para os appliances Ivanti: [[s1116-warpwire|WARPWIRE]] (harvesting de credenciais), [[s1114-zipline|ZIPLINE]] (backdoor passivo resistente a detecção), [[s1115-wirefire|WIREFIRE]] (web shell Python), [[s1119-lightwire|LIGHTWIRE]] (web shell em arquivo legitimo), [[s1118-bushwalk|BUSHWALK]], [[s1120-framesting|FRAMESTING]] e [[s1117-glasstoken|GLASSTOKEN]]. A técnica mais preocupante foi a **persistência pos-patch**: os atores mantiveram acesso mesmo após atualizacoes de firmware via web shells inseridos em arquivos legitimos - exigindo factory reset completo para erradicacao. A CISA emitiu emergência em janeiro de 2024 exigindo acao imediata de agencias federais americanas, determinando desconexão de dispositivos Ivanti até a aplicação de patches e factory reset verificado. ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento Global Varredura em escala de dispositivos Ivanti expostos"] --> B["💥 Exploits Zero-Day CVE-2023-46805 bypass auth + CVE-2024-21887 command inj"] B --> C["🐚 Web Shells WIREFIRE / LIGHTWIRE inseridos em arquivos legitimos Ivanti"] C --> D["🔑 WARPWIRE Harvesting de credenciais LDAP + VPN + dominio"] D --> E["↔️ Movimento Lateral Impacket + CrackMapExec com credenciais coletadas"] E --> F["🗑️ Anti-Forense Timestomping + delecao de logs + compressao"] F --> G["📌 Persistência Pos-Patch Web shells sobrevivem a atualizacoes - factory reset obrigatorio"] G --> H["📤 Exfiltração ZIPLINE backdoor passivo via canal C2 DNS/non-std"] ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2023-12 | UNC5221 inicia exploração zero-day de CVE-2023-46805 e CVE-2024-21887 antes da divulgacao | | 2024-01-10 | Ivanti divulga CVE-2023-46805 e CVE-2024-21887; CISA adiciona ao KEV | | 2024-01-10 | Mandiant e Volexity públicam análise técnica inicial da Cutting Edge | | 2024-01-12 | Exploração em massa após divulgacao pública - múltiplos atores identificados | | 2024-01-19 | UNC5325 explora CVE-2024-21893 (SSRF SAML) em alvos adicionais | | 2024-01-31 | Ivanti divulga CVE-2024-21893 e CVE-2024-21888; patches disponiveis | | 2024-02-01 | CISA emite diretiva de emergência para agencias federais desconectarem dispositivos | | 2024-03 | Mandiant pública partes 3 e 4 da serie Cutting Edge com novos TTPs e malware | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Reconnaissance | Vulnerability Scanning | [[t1595-002-vulnerability-scanning\|T1595.002]] | Varredura global de dispositivos Ivanti antes da divulgacao pública | | Initial Access | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Encadeamento CVE-2023-46805 + CVE-2024-21887 para RCE sem autenticação | | Persistence | Web Shell | [[t1505-003-web-shell\|T1505.003]] | WIREFIRE, LIGHTWIRE, BUSHWALK inseridos em arquivos legitimos Ivanti | | Persistence | Compromise Host Software Binary | [[t1554-compromise-host-software-binary\|T1554]] | Arquivos legitimos do Ivanti CS trojanizados com web shells | | Defense Evasion | Timestomp | [[t1070-006-timestomp\|T1070.006]] | Timestamps de arquivos alterados para dificultar análise forense | | Defense Evasion | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de logs e artefatos de exploração | | Credential Access | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Dump de credenciais em memoria com Impacket | | Lateral Movement | SSH | [[t1021-004-ssh\|T1021.004]] | Movimentação lateral via SSH com credenciais coletadas | | C2 | Traffic Signaling | [[t1205-traffic-signaling\|T1205]] | ZIPLINE usa "magic bytes" SSH para ativar funcionalidade maliciosa | ## Malware e Ferramentas - [[s1116-warpwire|WARPWIRE]] - credential harvester JavaScript; captura credenciais LDAP, VPN e de dominio - [[s1114-zipline|ZIPLINE]] - backdoor passivo que hijacka a função `accept()` do sistema; ativado por sequencia "SSH-2.0-OpenSSH_0.3xx" - [[s1115-wirefire|WIREFIRE]] - web shell Python inserido como lógica trojanizada em componente do Ivanti - [[s1119-lightwire|LIGHTWIRE]] - web shell inserido via dropper THINSPOOL em arquivo legitimo do CS - [[s1118-bushwalk|BUSHWALK]] - web shell Perl associado a exploração de CVE-2024-21893 - [[s1120-framesting|FRAMESTING]], [[s1117-glasstoken|GLASSTOKEN]] - implantes adicionais de segunda fase - [[s1121-littlelambwooltea|LITTLELAMB.WOOLTEA]], [[s1123-pitstop|PITSTOP]] - malwares do UNC5325 para persistência cross-upgrade (nao totalmente funcionais) - [[s0357-impacket|Impacket]], [[s0488-crackmapexec|CrackMapExec]] - ferramentas open-source para movimento lateral ## Impacto | Metrica | Detalhe | |---------|---------| | Período pre-divulgacao | Dezembro 2023 (UNC5221 já explorando antes do disclosure) | | Vulnerabilidades chave | CVE-2023-46805 (CVSS 8.2) + CVE-2024-21887 (CVSS 9.1) = RCE nao autenticado | | Atores identificados | UNC5221/UTA0178, UNC5325, UNC5330, UNC5337 - múltiplos clusters China-nexus | | Setores impactados | Defesa, telecomúnicacoes, financeiro, aeroespacial, tecnologia | | Persistência pos-patch | Web shells sobrevivem a atualizacoes - factory reset obrigatorio | ## Relevância LATAM/Brasil Organizacoes brasileiras que utilizam Ivanti Connect Secure como gateway VPN devem verificar se aplicaram todos os patches disponibilizados (CVE-2023-46805, CVE-2024-21887, CVE-2024-21893) e, crucialmente, realizaram análise forense completa dos appliances. A persistência pos-patch via web shells e a caracteristica mais critica desta campanha - simplesmente atualizar o firmware nao garante erradicacao. Setores brasileiros com maior exposicao: governo federal, defesa, telecomúnicacoes e energia que utilizam Ivanti Connect Secure ou Policy Secure. ## Mitigação - Aplicar todos os patches Ivanti: CVE-2023-46805, CVE-2024-21887, CVE-2024-21893, CVE-2024-21888 - Realizar factory reset completo dos dispositivos (update de firmware nao erradica web shells) - Verificar integridade dos arquivos do sistema contra baseline limpo após factory reset - Monitorar eventos de autenticação anomalos e requests ao endpoint SAML (/dana-na/auth/saml-endpoint.cgi) - Implementar YARA rules para detectar WIREFIRE e BUSHWALK públicadas pela Mandiant - Verificar presenca do arquivo `setcookie.thtml.ttc` alterado (vetor de LIGHTWIRE) ## Referências - [MITRE ATT&CK - C0029 Cutting Edge](https://attack.mitre.org/campaigns/C0029/) - [Mandiant - Cutting Edge Part 1: Suspected APT Targets Ivanti](https://cloud.google.com/blog/topics/threat-intelligence/suspected-apt-targets-ivanti-zero-day) (2024-01-10) - [Mandiant - Cutting Edge Part 3: Ivanti SSRF](https://cloud.google.com/blog/topics/threat-intelligence/investigating-ivanti-exploitation-persistence/) (2024-03-25) - [Mandiant - Cutting Edge Part 4 (PDF)](https://cybersecuritynews.es/wp-content/uploads/2024/04/Mandiant-Research-Cutting-Edge-Part-4-.pdf) - [CISA - Known Exploited Vulnerabilities - CVE-2024-21887](https://nvd.nist.gov/vuln/detail/CVE-2024-21887)