ivanti-connect-secure-exploitation-2024

# Ivanti Connect Secure Exploitation 2024 > [!critical] China Compromete 1.700+ Appliances Ivanti VPN Globalmente com Duplo Zero-Day > A campanha de exploração do **Ivanti Connect Secure** pelo grupo chinês **UNC5221** combinou dois zero-days - **CVE-2023-46805** (auth bypass) e **CVE-2024-21887** (injecao de comandos) - para comprometer mais de **1.700 appliances VPN** em todo o mundo em janeiro de 2024. A campanha comprometeu o mecanismo de verificação de integridade do proprio Ivanti para garantir persistência após reinicializacao, representando um dos comprometimentos de VPN corporativa mais significativos documentados. ## Visão Geral A campanha de exploração do Ivanti Connect Secure e atribuida ao UNC5221 - um cluster de atividade de nexo chines rastreado pela Mandiant. O grupo explorou a combinacao de duas vulnerabilidades de forma encadeada: [[cve-2023-46805|CVE-2023-46805]] permite que atacantes nao-autenticados contornem a autenticação da interface web do Ivanti ICS/IPS através de manipulação de path, e [[cve-2024-21887|CVE-2024-21887]] permite a um usuario autenticado executar comandos arbitrarios no sistema subjacente. A chain de exploits e técnicamente elegante: o CVE-2023-46805 elimina a necessidade de credenciais válidas, e o CVE-2024-21887 transforma isso em execução remota de código (RCE) completa como root. Combinadas, as duas vulnerabilidades criam um caminho de comprometimento total sem qualquer interação com credenciais ou usuarios legítimos. O que tornou esta campanha particularmente sofisticada foi o arsenal de malware deployado post-exploração: cinco familias distintas com funções especializadas. O [[s1117-glasstoken]] e um webshell JavaScript que persiste no servidor HTTPS do Ivanti. O [[s1114-zipline]] e um backdoor passivo que intercepta conexoes HTTP/S. O [[thinspool]] e um dropper que implanta o Lightwire no espaco web do servidor. O [[s1119-lightwire]] e um webshell Perl. O [[s1116-warpwire]] e um credential harvester especializado que captura credenciais em texto claro do portal de login do Ivanti. Mais alarmante foi a descoberta de que o UNC5221 modificou o mecanismo de Verificação de Integridade do proprio Ivanti - uma ferramenta projetada para detectar comprometimentos - para retornar resultados "limpos" mesmo em dispositivos comprometidos. Isso significa que organizacoes que dependiam da ferramenta de verificação de integridade para válidar que seus appliances nao estavam comprometidos obtinham resultados falsamente tranquilizadores. A Mandiant estimou que mais de 1.700 appliances Ivanti Connect Secure foram comprometidos globalmente antes da disponibilizacao de patches, afetando organizacoes em mais de 20 paises. ## Attack Flow ```mermaid graph TB A["🌐 Ivanti ICS Exposto Interface HTTPS acessivel na internet (porta 443)"] --> B["🔓 Auth Bypass CVE-2023-46805 - Path traversal Bypassa autenticação"] B --> C["💥 RCE via Injecao CVE-2024-21887 - Comando injetado Execução como root"] C --> D["💧 Deploy Arsenal GLASSTOKEN, ZIPLINE, THINSPOOL LIGHTWIRE, WARPWIRE"] D --> E["🛡️ Sabotagem de Integridade Verificação de integridade Ivanti modificada"] E --> F["🔍 Coleta de Credenciais WARPWIRE captura logins VPN de toda a organização"] F --> G["🚀 Movimento Lateral Credenciais VPN para acesso a rede interna"] G --> H["📤 Exfiltração e Espionagem Documentos classificados e comúnicacoes internas"] ``` ### Arsenal UNC5221 - Ivanti ```mermaid graph TB A["UNC5221 Arsenal Ivanti Connect Secure"] --> B["GLASSTOKEN Webshell JavaScript Persistência no servidor HTTPS"] A --> C["ZIPLINE Backdoor passivo Intercepta HTTP/S"] A --> D["THINSPOOL Dropper para LIGHTWIRE Implantação no webspace"] A --> E["LIGHTWIRE Webshell Perl Execução de comandos"] A --> F["WARPWIRE Credential Harvester Captura logins VPN"] E --> G["Persistência Pos-Patch Verificação de integridade sabotada para retornar limpo"] ``` ## Cronologia | Data | Evento | |------|--------| | 2023-12 | UNC5221 inicia exploração de CVE-2023-46805 e CVE-2024-21887 como zero-days | | 2024-01-10 | Ivanti e Volexity identificam as vulnerabilidades em producao | | 2024-01-11 | Ivanti pública advisory e mitigacoes temporarias; patches nao disponíveis | | 2024-01-13 | CISA emite alerta de emergência sobre Ivanti Connect Secure | | 2024-01-19 | Mandiant pública relatorio UNC5221 com atribuicao a nexo chines | | 2024-02-01 | Patches finais disponibilizados; estimativa de 1.700+ comprometimentos | | 2024-02 | CISA adiciona ambas as CVEs ao KEV com prazo emergêncial | | 2024-04 | Novas vulnerabilidades Ivanti (CVE-2024-21893) descobertas; campanha continua | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing App | CVE-2023-46805 auth bypass + CVE-2024-21887 RCE encadeados | | [[t1505-server-side-component\|T1505]] | Server Software Component | Webshells GLASSTOKEN e LIGHTWIRE implantados no Ivanti | | [[t1070-indicator-removal\|T1070]] | Indicator Removal | Sabotagem do mecanismo de verificação de integridade Ivanti | | [[t1556-modify-authentication-process\|T1556]] | Modify Authentication | WARPWIRE interceptando processo de autenticação VPN | | [[t1560-archive-collected-data\|T1560]] | Archive Collected Data | Credenciais e dados coletados antes de exfiltração | | [[t1036-masquerading\|T1036]] | Masquerading | Malware disfarçado como componentes legitimos do Ivanti | ## Vitimas e Alvos O UNC5221 comprometeu 1.700+ organizacoes em alvos globais: - **Agencias governamentais EUA**: Departamentos federais e estaduais com VPN Ivanti - **Contratantes de defesa**: Empresas com acesso a redes governamentais via VPN Ivanti - **Telecomúnicacoes**: Provedores de internet e empresas de infraestrutura critica - **Setor financeiro**: Bancos e instituicoes financeiras com implantacoes Ivanti - **Tecnologia**: Empresas de TI e provedores de cloud com infraestrutura VPN Ivanti ## Relevância LATAM > [!latam] Impacto para Brasil e LATAM > O **Ivanti Connect Secure** tem penetracao significativa no mercado corporativo brasileiro, especialmente em grandes empresas e instituicoes financeiras que utilizam VPN corporativa de alto desempenho. Qualquer organização brasileira utilizando Ivanti ICS/IPS com versoes anteriores aos patches de fevereiro de 2024 deve ser tratada como potencialmente comprometida. Grupos nexo-China como UNC5221 tem demonstrado interesse em espionagem industrial contra o setor de energia, telecomúnicacoes e financeiro brasileiro - setores onde o Ivanti e amplamente utilizado. - Empresas brasileiras de telecomúnicacoes (Vivo, Claro, TIM, Oi) utilizando Ivanti sao alvos potenciais de espionagem de infraestrutura - O setor financeiro brasileiro regulado pelo Banco Central com VPN Ivanti deve auditar comprometimento - Credenciais VPN capturadas pelo WARPWIRE podem persistir e ser usadas meses após o comprometimento inicial ## Mitigação e Detecção - **Aplicar patches CVE-2023-46805 e CVE-2024-21887 imediatamente** - qualquer Ivanti nao patchado e vulnerável - **Nao confiar na verificação de integridade Ivanti** para sistemas potencialmente comprometidos - fazer análise forense independente - **Resetar TODAS as credenciais VPN** de organizacoes com Ivanti ICS/IPS que nao foram patchados antes de 15 de janeiro de 2024 - **Pesquisar IOCs de GLASSTOKEN, ZIPLINE, WARPWIRE** em logs e sistemas de armazenamento do Ivanti - **Segmentar a rede VPN** para limitar movimento lateral de credenciais comprometidas - Aplicar [[m1050-exploit-protection]], [[m1030-network-segmentation]] e [[m1032-multi-factor-authentication]] ## Referências - [Mandiant - UNC5221 Ivanti Report (Jan 2024)](https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day) - [CISA - Emergency Directive ED-24-01: Ivanti](https://www.cisa.gov/emergency-directive-24-01) - [Volexity - Ivanti Connect Secure Zero-Day](https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/) - [NVD - CVE-2023-46805](https://nvd.nist.gov/vuln/detail/CVE-2023-46805) - [NVD - CVE-2024-21887](https://nvd.nist.gov/vuln/detail/CVE-2024-21887)