يستخدم المهاجمون زوجًا من نقاط الضعف الحرجة في شبكات Ivanti VPN لنشر مجموعة من الأبواب الخلفية المستندة إلى Rust، والتي بدورها تقوم بتنزيل برنامج ضار خلفي يطلق عليه اسم "KrustyLoader".
وكان الخلل اثنين تم الكشف عنها في وقت سابق من شهر يناير (CVE-2024-21887 وCVE-2023-46805)، مما يسمح بتنفيذ تعليمات برمجية عن بعد غير مصادق عليها (RCE) وتجاوز المصادقة، على التوالي، مما يؤثر على معدات Ivanti's Connect Secure VPN. لا يوجد لديه بقع حتى الآن.
في حين أن كلا اليومين الصفريين كانا بالفعل قيد الاستغلال النشط في البرية، فإن الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) التي ترعاها الدولة الصينية (UNC5221، المعروف أيضًا باسم UTA0178) قفزت بسرعة على الأخطاء بعد الكشف عنها للعامة. تصاعد محاولات الاستغلال الجماعي في جميع أنحاء العالم. كشف تحليل Volexity للهجمات عن 12 حمولة Rust منفصلة ولكن متطابقة تقريبًا يتم تنزيلها على الأجهزة المخترقة، والتي بدورها تقوم بتنزيل وتنفيذ نسخة مختلفة من أداة Sliver red-teaming، والتي أطلق عليها الباحث Synacktiv Théo Letailleur اسم KrustyLoader.
"قطعة من الجبن 11 قال Letailleur في تحليله بالأمس: "إنها أداة محاكاة مفتوحة المصدر للخصم تكتسب شعبية بين الجهات الفاعلة في مجال التهديد، لأنها توفر إطارًا عمليًا للقيادة والسيطرة"، والذي يقدم أيضًا تجزئات وقاعدة Yara وقاعدة البرنامج النصي للكشف والاستخراج مؤشرات التسوية (IoCs). وأشار إلى أن زرعة الفضة المُعاد تنظيمها تعمل بمثابة باب خلفي خفي ويمكن التحكم فيه بسهولة.
وأضاف: "يقوم KrustyLoader - كما أسميه - بإجراء فحوصات محددة من أجل التشغيل فقط في حالة استيفاء الشروط"، مشيرًا إلى أنه غامض أيضًا. "حقيقة أن KrustyLoader قد تم تطويره في Rust يجلب صعوبات إضافية للحصول على نظرة عامة جيدة على سلوكه."
وفي الوقت نفسه، تصحيحات لـ CVE-2024-21887 وCVE-2023-46805 في Connect Secure VPN، يتم تأخيرها. وكان إيفانتي قد وعدهم في 22 يناير/كانون الثاني، مما أدى إلى إصدار تنبيه من CISA، لكنهم فشلوا في التنفيذ. وفي آخر تحديث لاستشاراتها بشأن الأخطاء، والذي نُشر في 26 يناير، أشارت الشركة إلى أن "الإصدار المستهدف للتصحيحات للإصدارات المدعومة قد تأخر، ويؤثر هذا التأخير على جميع إصدارات التصحيحات اللاحقة المخطط لها... وسيستمر إصدار تصحيحات الإصدارات المدعومة في جدول زمني متداخل.
وقالت Ivanti إنها تستهدف الإصلاحات هذا الأسبوع، لكنها أشارت إلى أن "توقيت إصدار التصحيح عرضة للتغيير لأننا نعطي الأولوية للأمان وجودة كل إصدار".
اعتبارًا من اليوم، مر 20 يومًا منذ الكشف عن الثغرات الأمنية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
- :لديها
- :يكون
- 12
- 20
- 22
- 26%
- 7
- a
- نشط
- الجهات الفاعلة
- الأفعال
- وأضاف
- إضافي
- متقدم
- استشاري
- تؤثر
- بعد
- يعرف أيضا باسم
- ملاحظه
- الكل
- السماح
- سابقا
- أيضا
- من بين
- an
- تحليل
- و
- الأجهزة
- APT
- هي
- AS
- الهجمات
- محاولات
- التحقّق من المُستخدم
- الباب الخلفي
- خلفي
- BE
- كان
- سلوك
- يجري
- على حد سواء
- يجلب
- البق
- لكن
- تجنب
- تغيير
- الشيكات
- الصينية
- الكود
- حل وسط
- تسوية
- الشروط
- التواصل
- ذو شاهد
- حرج
- أيام
- تأخير
- مؤجل
- نشر
- كشف
- المتقدمة
- الصعوبات
- إفشاء
- بإمكانك تحميله
- يطلق عليها اسم
- كل
- في وقت سابق
- بسهولة
- تنفيذ
- استغلال
- حقيقة
- فشل
- شركة
- إصلاحات
- في حالة
- الإطار
- كسب
- معدّات الأطفال
- خير
- كان
- he
- له
- HTTPS
- i
- مطابق
- if
- الآثار
- in
- من مؤشرات
- IT
- انها
- يناير
- JPG
- آخر
- البرمجيات الخبيثة
- كتلة
- تتحقق
- قابل
- MOUNT
- عين
- تقريبا
- لا هذا ولا ذاك
- وأشار
- ملاحظة
- تحصل
- of
- عروض
- on
- فقط
- المصدر المفتوح
- طلب
- نظرة عامة
- زوج
- بقعة
- بقع
- ينفذ
- مخطط
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- شعبية
- عملية
- أولويات
- وعد
- ويوفر
- جمهور
- نشرت
- جودة
- بسرعة
- الافراج عن
- صدر
- النشرات
- عن بعد
- الباحث
- على التوالي
- قاعدة
- يجري
- Rust
- s
- قال
- جدول
- تأمين
- أمن
- مستقل
- طقم
- محاكاة
- منذ
- محدد
- مسترق
- لا يزال
- موضوع
- لاحق
- مدعومة
- المستهدفة
- استهداف
- أن
- •
- منهم
- هم
- هذا الأسبوع
- التهديد
- الجهات التهديد
- توقيت
- إلى
- اليوم
- أداة
- منعطف أو دور
- اثنان
- كشف
- مع
- تحديث
- استخدام
- متنوع
- الإصدارات
- VPN
- الشبكات الخاصة الإفتراضية
- نقاط الضعف
- وكان
- we
- أسبوع
- كان
- التي
- بري
- سوف
- أمس
- حتى الآن
- زفيرنت
- صفر
- نقاط الضعف في اليوم صفر