Franse organisaties, waaronder overheidsinstanties, defensiebedrijven en telecombedrijven, zijn eind vorig jaar aangevallen via kwetsbaarheden in Ivanti Cloud Service Appliance (CSA). Op het moment van de aanvallen waren er nog geen updates voor de beveiligingslekken (CVE-2024-8190, CVE-2024-8963 en CVE-2024-9380) beschikbaar. Dat laat het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) weten.

De kwetsbaarheden maken remote code execution op Ivanti Cloud Service Appliances (CSA) mogelijk. Via de Cloud Service Appliance kunnen organisaties software uitrollen, updates installeren en op afstand problemen oplossen op door de organisatie beheerde laptops, tablets, smartphones en andere systemen. Een gecompromitteerde CSA kan dan ook verstrekkende gevolgen voor een organisatie hebben.

De aanvallen waarover het ANSSI bericht begonnen begin september vorig jaar en gingen door tot eind november. De aanvallers maakten onder andere gebruik van populaire vpn-diensten zoals NordVPN en ExpressVPN, alsmede het Tor-netwerk, om hun locatie te verbergen. Zodra de aanvallers toegang tot het CSA-systeem hadden werden er webshells geïnstalleerd om toegang te behouden en verdere aanvallen uit te voeren. Bij een aangevallen defensiebedrijf werd op de CSA-appliance een niet eerder waargenomen rootkit geïnstalleerd, aldus het ANSSI.

Bij drie bevestigde gevallen gebruikten de aanvallers gecompromitteerde CSA-appliances om zich lateraal naar andere systemen van de organisatie te bewegen. De aanvallers verzamelden ook inloggegevens en probeerden toegang tot deze netwerken te behouden. De aanvallen zijn volgens ANSSI het werk van een groep die als initial access broker opereert. Dit soort actoren verkopen de toegang tot systemen weer aan andere partijen die verdere aanvallen willen uitvoeren. De groep houdt zich echter ook bezig met het stelen van data, alsmede het installeren van cryptominers op gecompromitteerde systemen.