Ivanti nullpäeva plaastrid hilinevad, kuna KrustyLoader ründab mäest

Ründajad kasutavad Ivanti VPN-ides paari kriitilist nullpäeva turvaauku, et juurutada roostepõhine tagauste komplekt, mis omakorda laadib alla tagaukse pahavara nimega KrustyLoader.

Kaks viga olid avalikustati varem jaanuaris (CVE-2024-21887 ja CVE-2023-46805), võimaldades vastavalt autentimata kaugkäitamist (RCE) ja autentimisest möödasõitu, mõjutades Ivanti Connect Secure VPN varustust. Kummalgi pole veel plaastreid.

Kuigi mõlemad nullpäevad olid juba looduses aktiivse ärakasutamise all, tabasid Hiina riiklikult toetatud arenenud püsiva ohu (APT) osalejad (UNC5221, teise nimega UTA0178) pärast avalikku avalikustamist kiiresti vead. massilise ekspluateerimise katsed kogu maailmas. Volexity rünnakute analüüs avastas 12 eraldiseisvat, kuid peaaegu identset Rusti kasulikku koormust, mis laaditi alla ohustatud seadmetesse, mis omakorda laadivad alla ja käivitavad Sliver red-teaming tööriista variandi, mille Synacktivi uurija Théo Letailleur nimetas KrustyLoaderiks.

"Kitsas 11 on avatud lähtekoodiga vastase simulatsioonitööriist, mis on ohus osalejate seas populaarsust kogumas, kuna see pakub praktilist käsu- ja kontrolliraamistikku,” ütles Letailleur oma eilses analüüsis, mis pakub ka räsisid, Yara reeglit ja skript tuvastamiseks ja ekstraheerimiseks kompromissiindikaatorite (IoC) Ta märkis, et ümberehitatud Sliveri implantaat toimib salaja ja hõlpsasti juhitava tagauksena.

"KrustyLoader - nagu ma seda nimetasin - teostab spetsiifilisi kontrolle, et käitada ainult siis, kui tingimused on täidetud," lisas ta, märkides, et see on ka hästi hägune. "Asjaolu, et KrustyLoader töötati välja Rustis, tekitab täiendavaid raskusi selle käitumisest hea ülevaate saamiseks."

Vahepeal plaastrid CVE-2024-21887 ja CVE-2023-46805 jaoks in Connect Secure VPN-id viibivad. Ivanti oli neile lubanud 22. jaanuaril, ajendas CISA hoiatuse, kuid need ei realiseerunud. Vigade teavituse viimases värskenduses, mis avaldati 26. jaanuaril, märkis ettevõte: "Toetatud versioonide paikade sihipärane väljalaskmine viibib, see viivitus mõjutab kõiki järgnevaid kavandatud plaastri väljalaseid ... Toetatud versioonide paigad avaldatakse endiselt astmeline ajakava."

Ivanti ütles, et sihiks on see nädal parandused, kuid märkis, et "plaastri väljalaske ajastus võib muutuda, kuna peame esikohale iga versiooni turvalisust ja kvaliteeti."

Tänase seisuga on turvaaukude avalikustamisest möödunud 20 päeva.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount