In de nasleep van twee ontdekte veiligheidsproblemen met apparatuur van Ivanti, ontdekt het Belgische securitybedrijf Nviso nieuwe achterpoortjes die hackers op lange termijn toegang kunnen geven.
Nviso ontdekte de backdoors bij een controle van een klant, een niet nader genoemde grote organisatie. De aanleiding daarvoor was een recente ontdekking van beveiliger Mandiant. Die kwam eind januari naar buiten met twee kwetsbaarheden (CVE-2023-46805 en CVE 2024-21887) op Ivanti-apparatuur. Daardoor wou de klant van Nviso haar apparatuur ten gronde laten controleren. In dit geval gaat het om een SSLVPN oplossing, een gateway om onder meer mensen van op afstand veilig toegang te geven tot je intern netwerk.
‘Er was iets vreemds gevonden en om dat te onderzoeken hebben ze ons ingeroepen,’ legt Michel Coene uit. Hij is partner bij Nviso en verantwoordelijk voor de incident response activiteiten. ‘Daarbij kwamen we uit op twee nieuwe backdoors.’
SparkCockpit en SparkTar
Coene nuanceert dat een backdoor niet hetzelfde is als een kwetsbaarheid. ‘Vaak wordt er via een kwetsbaarheid een backdoor op een systeem geplaatst. Dat kan bijvoorbeeld een eenvoudige webshell zijn. Maar in dit geval ging het om vrij geavanceerde achterpoortjes waar nog niet publiek over werd gesproken.’
Dergelijke achterpoortjes, die in dit geval de naam SparkCockpit en SparkTar meekregen, zijn vooral interessant voor de lange termijn. De kwetsbaarheid forceert de ingang, de backdoor moet ervoor zorgen dat er ook achteraf toegang mogelijk blijft voor malafide personen.
‘Een kwetsbaarheid wordt vroeg of laat ontdekt en gepatcht. Maar zelfs met een gepatcht systeem kan een aanvaller toegang behouden via een backdoor,’ legt Coene uit. Die backdoor draait als een soort (goed verstopte) applicatie op Ivanti.
Detectieregels aanscherpen
De oplossing om die backdoors te ontdekken zit in de detectieregels die je als netwerkbeheerder opstelt. Nviso heeft hier intussen een blogpost en technisch rapport uitgebracht waar uitgelegd staat hoe je dat kan doen.
‘We hebben er nu opgesteld, specifiek voor de twee nieuwe backdoors en we raden iedereen aan die toe te passen op hun toestel en netwerkgebied. Eén van de twee kan ook een factory reset overleven, dus puur je toestel resetten garandeert niet dat het is opgelost.’ Voor wie dat virtueel doet, wordt aangeraden om de configuratie te exporteren en een nieuw toestel te configureren.
Fout opgemerkt of meer nieuws? Meld het hier