Американские агентства предупредили, что китайские хакеры использовали две сложные цепочки эксплойтов для взлома Ivanti Cloud Service Appliances (CSA). Согласно совместному сообщению CISA и ФБР, злоумышленники использовали четыре уязвимости (CVE-2024-8963, CVE-2024-9379, CVE-2024-8190 и CVE-2024-9380) для получения доступа, выполнения удаленного кода, кражи учетных данных и установки вредоносных оболочек.
Злоумышленники использовали устаревшие версии программного обеспечения Ivanti CSA, в частности, версии 4.6x (до 519) и 5.0.1.
Хакеры использовали два ключевых эксплойта для проникновения в сеть, что позволяло перемещаться между серверами. В одном случае они использовали уязвимости для кражи учетных данных администратора, повышения привилегий и сохранения доступа через обратные каналы связи. В другом случае была предпринята попытка SQL-инъекции и создания веб-оболочки, но атака была своевременно обнаружена и устранена.