Οι εισβολείς χρησιμοποιούν ένα ζεύγος κρίσιμων τρωτών σημείων zero-day στα Ivanti VPN για να αναπτύξουν ένα σύνολο backdoors που βασίζεται σε Rust, το οποίο με τη σειρά του κατεβάζει ένα κακόβουλο λογισμικό backdoor με το όνομα "KrustyLoader".
Τα δύο σφάλματα ήταν αποκαλύφθηκε νωρίτερα τον Ιανουάριο (CVE-2024-21887 και CVE-2023-46805), επιτρέποντας την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας (RCE) και την παράκαμψη ελέγχου ταυτότητας, αντίστοιχα, επηρεάζοντας το εργαλείο Connect Secure VPN του Ivanti. Κανένα από τα δύο δεν έχει μπαλώματα ακόμα.
Ενώ και οι δύο ημέρες μηδέν βρίσκονταν ήδη υπό ενεργή εκμετάλλευση στην άγρια φύση, οι κινεζικοί κρατικοί φορείς προηγμένης επίμονης απειλής (APT) (UNC5221, γνωστός και ως UTA0178) έσκασαν γρήγορα τα σφάλματα μετά τη δημόσια αποκάλυψη. αυξανόμενες προσπάθειες μαζικής εκμετάλλευσης παγκοσμίως. Η ανάλυση των επιθέσεων από το Volexity αποκάλυψε 12 ξεχωριστά αλλά σχεδόν πανομοιότυπα ωφέλιμα φορτία Rust που μεταφορτώνονταν σε παραβιασμένες συσκευές, οι οποίες με τη σειρά τους κατεβάζουν και εκτελούν μια παραλλαγή του εργαλείου Sliver red-teaming, το οποίο ο ερευνητής του Synacktiv Théo Letailleur ονόμασε KrustyLoader.
"Sliver 11 είναι ένα εργαλείο προσομοίωσης αντιπάλου ανοιχτού κώδικα που κερδίζει δημοτικότητα μεταξύ των παραγόντων απειλών, καθώς παρέχει ένα πρακτικό πλαίσιο εντολής και ελέγχου», είπε ο Letailleur στη χθεσινή του ανάλυση, η οποία προσφέρει επίσης hashes, έναν κανόνα Yara και σενάριο για ανίχνευση και εξαγωγή των δεικτών συμβιβασμού (IoCs). Σημείωσε ότι το ανανεωμένο εμφύτευμα Sliver λειτουργεί ως μια κρυφή και εύκολα ελεγχόμενη κερκόπορτα.
«Το KrustyLoader —όπως το μετονόμασα— εκτελεί συγκεκριμένους ελέγχους προκειμένου να εκτελεστεί μόνο εάν πληρούνται οι προϋποθέσεις», πρόσθεσε, σημειώνοντας ότι είναι επίσης καλά ασαφής. "Το γεγονός ότι το KrustyLoader αναπτύχθηκε στο Rust φέρνει πρόσθετες δυσκολίες για να αποκτήσετε μια καλή επισκόπηση της συμπεριφοράς του."
Εν τω μεταξύ, το patches για CVE-2024-21887 και CVE-2023-46805 στο Connect Τα ασφαλή VPN έχουν καθυστέρηση. Ο Ιβάντι τους είχε υποσχεθεί στις 22 Ιανουαρίου, προκαλώντας συναγερμό της CISA, αλλά απέτυχαν να υλοποιηθούν. Στην τελευταία ενημέρωση της συμβουλευτικής της για τα σφάλματα, που δημοσιεύθηκε στις 26 Ιανουαρίου, η εταιρεία σημείωσε: «Η στοχευμένη έκδοση ενημερώσεων κώδικα για υποστηριζόμενες εκδόσεις έχει καθυστερήσει, αυτή η καθυστέρηση επηρεάζει όλες τις επόμενες προγραμματισμένες εκδόσεις ενημερώσεων κώδικα… Οι ενημερώσεις κώδικα για υποστηριζόμενες εκδόσεις θα εξακολουθήσουν να κυκλοφορούν στις ένα κλιμακωτό πρόγραμμα».
Η Ivanti είπε ότι στοχεύει αυτή την εβδομάδα για τις διορθώσεις, αλλά σημείωσε ότι «ο χρόνος κυκλοφορίας της ενημέρωσης κώδικα υπόκειται σε αλλαγές, καθώς δίνουμε προτεραιότητα στην ασφάλεια και την ποιότητα κάθε έκδοσης».
Από σήμερα, έχουν περάσει 20 ημέρες από την αποκάλυψη των τρωτών σημείων.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
- :έχει
- :είναι
- 12
- 20
- 22
- 26%
- 7
- a
- ενεργός
- φορείς
- πράξεις
- προστιθέμενη
- Πρόσθετος
- προηγμένες
- συμβουλευτικός
- συγκινητικός
- Μετά το
- aka
- Ειδοποίηση
- Όλα
- Επιτρέποντας
- ήδη
- Επίσης
- μεταξύ των
- an
- ανάλυση
- και
- συσκευές
- APT
- ΕΙΝΑΙ
- AS
- Επιθέσεις
- Προσπάθειες
- Πιστοποίηση
- κερκόπορτα
- Κερκόπορτες
- BE
- ήταν
- συμπεριφορά
- είναι
- και οι δύο
- Φέρνει
- σφάλματα
- αλλά
- παρακάμψει
- αλλαγή
- έλεγχοι
- κινέζικο
- κωδικός
- συμβιβασμός
- Συμβιβασμένος
- Συνθήκες
- Connect
- ελέγχεται
- κρίσιμης
- Ημ.
- delay
- Καθυστέρηση
- παρατάσσω
- Ανίχνευση
- αναπτύχθηκε
- δυσκολίες
- αποκάλυψη
- κατεβάσετε
- μεταγλωττισμένο
- κάθε
- Νωρίτερα
- εύκολα
- εκτελέσει
- εκτέλεση
- εκμετάλλευση
- γεγονός
- Απέτυχε
- Εταιρεία
- διορθώσεις
- Για
- Πλαίσιο
- κερδίζει
- Εξοπλισμος
- καλός
- είχε
- he
- του
- HTTPS
- i
- identiques
- if
- Επιπτώσεις
- in
- δείκτες
- IT
- ΤΟΥ
- Ιανουάριος
- jpg
- αργότερο
- malware
- Μάζα
- υλοποιώ
- πληρούνται
- ΤΟΠΟΘΕΤΗΣΗ
- Ονομάστηκε
- σχεδόν
- κανενα απο τα δυο
- Σημειώνεται
- σημειώνοντας
- αποκτήσει
- of
- προσφορές
- on
- αποκλειστικά
- ανοικτού κώδικα
- τάξη
- επισκόπηση
- ζεύγος
- Patch
- Patches
- εκτελεί
- προγραμματίζονται
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δημοτικότητα
- Πρακτικός
- Δώστε προτεραιότητα
- υποσχόμενος
- παρέχει
- δημόσιο
- δημοσιεύθηκε
- ποιότητα
- γρήγορα
- απελευθερώνουν
- κυκλοφόρησε
- Δελτία
- μακρινός
- ερευνητής
- αντίστοιχα
- Άρθρο
- τρέξιμο
- Σκωρία
- s
- Είπε
- πρόγραμμα
- προστατευμένο περιβάλλον
- ασφάλεια
- ξεχωριστό
- σειρά
- προσομοίωση
- αφού
- συγκεκριμένες
- λαθραίος
- Ακόμη
- θέμα
- μεταγενέστερος
- υποστηριζόνται!
- στοχευμένες
- στόχευση
- ότι
- Η
- Τους
- αυτοί
- αυτό
- αυτή την εβδομάδα
- απειλή
- απειλή
- συγχρονισμός
- προς την
- σήμερα
- εργαλείο
- ΣΤΡΟΦΗ
- δύο
- ακάλυπτος
- υπό
- Ενημέρωση
- χρησιμοποιώντας
- Παραλλαγή
- εκδόσεις
- VPN
- VPN
- Θέματα ευπάθειας
- ήταν
- we
- εβδομάδα
- ήταν
- Ποιό
- Άγριος
- θα
- χτες
- ακόμη
- zephyrnet
- μηδέν
- τρωτά σημεία μηδενικής ημέρας