Ivanti Zero-Day Patches forsinket, da 'KrustyLoader' angriber Mount

Angribere bruger et par kritiske nul-dages sårbarheder i Ivanti VPN'er til at implementere et Rust-baseret sæt bagdøre, som igen downloader en bagdørs malware kaldet "KrustyLoader."

De to fejl var offentliggjort tidligere i januar (CVE-2024-21887 og CVE-2023-46805), hvilket tillader henholdsvis uautoriseret fjernudførelse af kode (RCE) og omgåelse af autentificering, hvilket påvirker Ivantis Connect Secure VPN-udstyr. Ingen af ​​dem har patches endnu.

Mens begge nul dage allerede var under aktiv udnyttelse i naturen, hoppede kinesiske statssponsorerede avancerede persistente trusler (APT) aktører (UNC5221, aka UTA0178) hurtigt på fejlene efter offentlighedens offentliggørelse, stigende masseudnyttelsesforsøg over hele verden. Volexitys analyse af angrebene afslørede 12 separate, men næsten identiske Rust-nyttelaster, der blev downloadet til kompromitterede apparater, som igen downloader og udfører en variant af Sliver red-teaming-værktøjet, som Synacktiv-forsker Théo Letailleur kaldte KrustyLoader.

"Sliver 11 er et open source modstanders simuleringsværktøj, der vinder popularitet blandt trusselsaktører, da det giver en praktisk kommando-og-kontrol-ramme,” sagde Letaileur i sin analyse i går, som også tilbyder hash, en Yara-regel og en script til detektion og ekstraktion af kompromisindikatorer (IOC'er). Han bemærkede, at det rejiggerede Sliver-implantat fungerer som en snigende og let styret bagdør.

"KrustyLoader - som jeg kaldte det - udfører specifikke kontroller for kun at køre, hvis betingelserne er opfyldt," tilføjede han og bemærkede, at det også er godt sløret. "Det faktum, at KrustyLoader blev udviklet i Rust, giver yderligere vanskeligheder med at få et godt overblik over dens adfærd."

I mellemtiden patches til CVE-2024-21887 og CVE-2023-46805 i Connect Secure VPN'er er forsinkede. Ivanti havde lovet dem den 22. januar, hvilket udløste en CISA-alarm, men de lykkedes ikke. I den seneste opdatering til sin rådgivning om fejlene, offentliggjort 26. januar, bemærkede firmaet: "Den målrettede udgivelse af patches til understøttede versioner er forsinket, denne forsinkelse påvirker alle efterfølgende planlagte patch-udgivelser ... Patches til understøttede versioner vil stadig blive frigivet på en forskudt tidsplan."

Ivanti sagde, at den sigter mod rettelserne i denne uge, men bemærkede, at "timingen for udgivelse af patch kan ændres, da vi prioriterer sikkerheden og kvaliteten af ​​hver udgivelse."

I dag er der gået 20 dage siden afsløringen af ​​sårbarhederne.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount