تأخر تصحيحات Ivanti Zero-Day مع تصاعد هجمات 'KrustyLoader'

يستخدم المهاجمون زوجًا من نقاط الضعف الحرجة في شبكات Ivanti VPN لنشر مجموعة من الأبواب الخلفية المستندة إلى Rust، والتي بدورها تقوم بتنزيل برنامج ضار خلفي يطلق عليه اسم "KrustyLoader".

وكان الخلل اثنين تم الكشف عنها في وقت سابق من شهر يناير (CVE-2024-21887 وCVE-2023-46805)، مما يسمح بتنفيذ تعليمات برمجية عن بعد غير مصادق عليها (RCE) وتجاوز المصادقة، على التوالي، مما يؤثر على معدات Ivanti's Connect Secure VPN. لا يوجد لديه بقع حتى الآن.

في حين أن كلا اليومين الصفريين كانا بالفعل قيد الاستغلال النشط في البرية، فإن الجهات الفاعلة في مجال التهديد المستمر المتقدم (APT) التي ترعاها الدولة الصينية (UNC5221، المعروف أيضًا باسم UTA0178) قفزت بسرعة على الأخطاء بعد الكشف عنها للعامة. تصاعد محاولات الاستغلال الجماعي في جميع أنحاء العالم. كشف تحليل Volexity للهجمات عن 12 حمولة Rust منفصلة ولكن متطابقة تقريبًا يتم تنزيلها على الأجهزة المخترقة، والتي بدورها تقوم بتنزيل وتنفيذ نسخة مختلفة من أداة Sliver red-teaming، والتي أطلق عليها الباحث Synacktiv Théo Letailleur اسم KrustyLoader.

"قطعة من الجبن 11 قال Letailleur في تحليله بالأمس: "إنها أداة محاكاة مفتوحة المصدر للخصم تكتسب شعبية بين الجهات الفاعلة في مجال التهديد، لأنها توفر إطارًا عمليًا للقيادة والسيطرة"، والذي يقدم أيضًا تجزئات وقاعدة Yara وقاعدة البرنامج النصي للكشف والاستخراج مؤشرات التسوية (IoCs). وأشار إلى أن زرعة الفضة المُعاد تنظيمها تعمل بمثابة باب خلفي خفي ويمكن التحكم فيه بسهولة.

وأضاف: "يقوم KrustyLoader - كما أسميه - بإجراء فحوصات محددة من أجل التشغيل فقط في حالة استيفاء الشروط"، مشيرًا إلى أنه غامض أيضًا. "حقيقة أن KrustyLoader قد تم تطويره في Rust يجلب صعوبات إضافية للحصول على نظرة عامة جيدة على سلوكه."

وفي الوقت نفسه، تصحيحات لـ CVE-2024-21887 وCVE-2023-46805 في Connect Secure VPN، يتم تأخيرها. وكان إيفانتي قد وعدهم في 22 يناير/كانون الثاني، مما أدى إلى إصدار تنبيه من CISA، لكنهم فشلوا في التنفيذ. وفي آخر تحديث لاستشاراتها بشأن الأخطاء، والذي نُشر في 26 يناير، أشارت الشركة إلى أن "الإصدار المستهدف للتصحيحات للإصدارات المدعومة قد تأخر، ويؤثر هذا التأخير على جميع إصدارات التصحيحات اللاحقة المخطط لها... وسيستمر إصدار تصحيحات الإصدارات المدعومة في جدول زمني متداخل.

وقالت Ivanti إنها تستهدف الإصلاحات هذا الأسبوع، لكنها أشارت إلى أن "توقيت إصدار التصحيح عرضة للتغيير لأننا نعطي الأولوية للأمان وجودة كل إصدار".

اعتبارًا من اليوم، مر 20 يومًا منذ الكشف عن الثغرات الأمنية.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount