В середине сентября этого года исследователи FortiGuard Labs выявили атаку, при которой неизвестный злоумышленник воспользовался уязвимостями в облачном сервисе Cloud Services Appliance (CSA) от Ivanti. Одна из трёх обнаруженных уязвимостей уже была известна как CVE-2024-8190, однако две другие оставались нераскрытыми до начала расследования.
Хакер получили доступ к системе 4 сентября 2024 года, использовав уязвимость обхода путей в файле “/client/index.php” и командную инъекцию в файле “reports.php”. Это позволило без авторизации извлечь данные о пользователях, а также запустить вредоносные команды, что дало возможность получить дальнейший доступ к системам жертвы.
11 сентября злоумышленник приступил к атаке на пароли пользователей, использовав брутфорс. После получения доступа к привилегированным учётным записям он установил веб-шеллы и продолжил эксплуатировать уязвимые файлы. При этом, что примечательно – чтобы предотвратить вмешательство других хакеров, он сам “залатал” обнаруженные уязвимости.
На момент публикации компания Ivanti выпустила патч для уязвимости CVE-2024-8190, однако другие уязвимости в CSA до сих пор остаются потенциальной угрозой для пользователей. FortiGuard Labs продолжают анализировать действия злоумышленников и обещают опубликовать дополнительную информацию в последующих отчётах.