وصله‌های Ivanti Zero-Day با حمله «KrustyLoader» به تعویق افتاد

مهاجمان از یک جفت آسیب‌پذیری مهم روز صفر در VPN‌های Ivanti برای استقرار مجموعه‌ای از درهای پشتی مبتنی بر Rust استفاده می‌کنند که به نوبه خود یک بدافزار backdoor با نام «KrustyLoader» را دانلود می‌کنند.

دو باگ بودند اوایل ژانویه فاش شد (CVE-2024-21887 و CVE-2023-46805)، به ترتیب اجازه اجرای کد از راه دور غیرقابل احراز هویت (RCE) و دور زدن احراز هویت را می دهد که بر دنده ایوانتی Connect Secure VPN تأثیر می گذارد. هیچکدام هنوز پچ ندارند.

در حالی که هر دو روز صفر قبلاً تحت بهره‌برداری فعال در طبیعت بودند، بازیگران تهدید دائمی پیشرفته (APT) تحت حمایت دولت چین (UNC5221، با نام مستعار UTA0178) به سرعت پس از افشای عمومی، باگ‌ها را بررسی کردند. افزایش تلاش های استثمار انبوه در سراسر جهان. تجزیه و تحلیل Volexity از حملات، 12 محموله Rust مجزا اما تقریباً یکسان را نشان داد که در دستگاه‌های در معرض خطر دانلود می‌شدند، که به نوبه خود نوعی از ابزار Sliver red-teaming را دانلود و اجرا می‌کردند که محقق Synacktiv آن را Théo Letailleur نام KrustyLoader کرد.

"برش 11 Letailleur در تحلیل دیروز خود گفت: یک ابزار شبیه‌سازی دشمن منبع باز است که در بین بازیگران تهدید محبوبیت پیدا می‌کند، زیرا چارچوب فرمان و کنترل عملی را ارائه می‌کند. اسکریپت برای تشخیص و استخراج شاخص های سازش (IoCs). او اشاره کرد که ایمپلنت Sliver rejigger شده به عنوان یک درب پشتی مخفی و به راحتی قابل کنترل عمل می کند.

او افزود: "KrustyLoader - همانطور که من آن را نامگذاری کردم - بررسی های خاصی را انجام می دهد تا فقط در صورت رعایت شرایط اجرا شود." این واقعیت که KrustyLoader در Rust توسعه یافته است، مشکلات بیشتری را برای به دست آوردن یک نمای کلی خوب از رفتار آن به همراه دارد.

در همین حال، وصله های CVE-2024-21887 و CVE-2023-46805 در Connect VPN های امن با تأخیر مواجه می شوند. ایوانتی در 22 ژانویه به آنها قول داده بود که باعث هشدار CISA شد، اما آنها محقق نشدند. این شرکت در آخرین به‌روزرسانی توصیه‌های خود درباره باگ‌ها، که در 26 ژانویه منتشر شد، خاطرنشان کرد: «انتشار هدفمند وصله‌ها برای نسخه‌های پشتیبانی‌شده به تأخیر افتاده است، این تأخیر بر تمام انتشارات وصله‌های برنامه‌ریزی‌شده بعدی تأثیر می‌گذارد… وصله‌های نسخه‌های پشتیبانی‌شده همچنان در تاریخ منتشر خواهند شد. برنامه ای سرسام آور.»

ایوانتی گفت که این هفته را برای اصلاحات هدف قرار داده است، اما خاطرنشان کرد که "زمان انتشار پچ ممکن است تغییر کند زیرا ما امنیت و کیفیت هر نسخه را در اولویت قرار می دهیم."

از امروز، 20 روز از افشای آسیب پذیری ها می گذرد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount