Καθυστέρησαν οι επιθέσεις Ivanti Zero-Day καθώς το «KrustyLoader» επιτίθεται

Οι εισβολείς χρησιμοποιούν ένα ζεύγος κρίσιμων τρωτών σημείων zero-day στα Ivanti VPN για να αναπτύξουν ένα σύνολο backdoors που βασίζεται σε Rust, το οποίο με τη σειρά του κατεβάζει ένα κακόβουλο λογισμικό backdoor με το όνομα "KrustyLoader".

Τα δύο σφάλματα ήταν αποκαλύφθηκε νωρίτερα τον Ιανουάριο (CVE-2024-21887 και CVE-2023-46805), επιτρέποντας την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας (RCE) και την παράκαμψη ελέγχου ταυτότητας, αντίστοιχα, επηρεάζοντας το εργαλείο Connect Secure VPN του Ivanti. Κανένα από τα δύο δεν έχει μπαλώματα ακόμα.

Ενώ και οι δύο ημέρες μηδέν βρίσκονταν ήδη υπό ενεργή εκμετάλλευση στην άγρια ​​φύση, οι κινεζικοί κρατικοί φορείς προηγμένης επίμονης απειλής (APT) (UNC5221, γνωστός και ως UTA0178) έσκασαν γρήγορα τα σφάλματα μετά τη δημόσια αποκάλυψη. αυξανόμενες προσπάθειες μαζικής εκμετάλλευσης παγκοσμίως. Η ανάλυση των επιθέσεων από το Volexity αποκάλυψε 12 ξεχωριστά αλλά σχεδόν πανομοιότυπα ωφέλιμα φορτία Rust που μεταφορτώνονταν σε παραβιασμένες συσκευές, οι οποίες με τη σειρά τους κατεβάζουν και εκτελούν μια παραλλαγή του εργαλείου Sliver red-teaming, το οποίο ο ερευνητής του Synacktiv Théo Letailleur ονόμασε KrustyLoader.

"Sliver 11 είναι ένα εργαλείο προσομοίωσης αντιπάλου ανοιχτού κώδικα που κερδίζει δημοτικότητα μεταξύ των παραγόντων απειλών, καθώς παρέχει ένα πρακτικό πλαίσιο εντολής και ελέγχου», είπε ο Letailleur στη χθεσινή του ανάλυση, η οποία προσφέρει επίσης hashes, έναν κανόνα Yara και σενάριο για ανίχνευση και εξαγωγή των δεικτών συμβιβασμού (IoCs). Σημείωσε ότι το ανανεωμένο εμφύτευμα Sliver λειτουργεί ως μια κρυφή και εύκολα ελεγχόμενη κερκόπορτα.

«Το KrustyLoader —όπως το μετονόμασα— εκτελεί συγκεκριμένους ελέγχους προκειμένου να εκτελεστεί μόνο εάν πληρούνται οι προϋποθέσεις», πρόσθεσε, σημειώνοντας ότι είναι επίσης καλά ασαφής. "Το γεγονός ότι το KrustyLoader αναπτύχθηκε στο Rust φέρνει πρόσθετες δυσκολίες για να αποκτήσετε μια καλή επισκόπηση της συμπεριφοράς του."

Εν τω μεταξύ, το patches για CVE-2024-21887 και CVE-2023-46805 στο Connect Τα ασφαλή VPN έχουν καθυστέρηση. Ο Ιβάντι τους είχε υποσχεθεί στις 22 Ιανουαρίου, προκαλώντας συναγερμό της CISA, αλλά απέτυχαν να υλοποιηθούν. Στην τελευταία ενημέρωση της συμβουλευτικής της για τα σφάλματα, που δημοσιεύθηκε στις 26 Ιανουαρίου, η εταιρεία σημείωσε: «Η στοχευμένη έκδοση ενημερώσεων κώδικα για υποστηριζόμενες εκδόσεις έχει καθυστερήσει, αυτή η καθυστέρηση επηρεάζει όλες τις επόμενες προγραμματισμένες εκδόσεις ενημερώσεων κώδικα… Οι ενημερώσεις κώδικα για υποστηριζόμενες εκδόσεις θα εξακολουθήσουν να κυκλοφορούν στις ένα κλιμακωτό πρόγραμμα».

Η Ivanti είπε ότι στοχεύει αυτή την εβδομάδα για τις διορθώσεις, αλλά σημείωσε ότι «ο χρόνος κυκλοφορίας της ενημέρωσης κώδικα υπόκειται σε αλλαγές, καθώς δίνουμε προτεραιότητα στην ασφάλεια και την ποιότητα κάθε έκδοσης».

Από σήμερα, έχουν περάσει 20 ημέρες από την αποκάλυψη των τρωτών σημείων.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount