Ivanti Zero-Day Patches viivästynyt, koska "KrustyLoader" hyökkää Mount

Hyökkääjät käyttävät paria kriittistä nollapäivän haavoittuvuutta Ivanti VPN:issä ottaakseen käyttöön Rust-pohjaisen takaoven, joka puolestaan ​​lataa "KrustyLoader"-nimisen takaoven haittaohjelman.

Kaksi vikaa olivat julkistettiin aiemmin tammikuussa (CVE-2024-21887 ja CVE-2023-46805), jotka mahdollistavat todentamattoman etäkoodin suorittamisen (RCE) ja todennuksen ohituksen, mikä vaikuttaa Ivantin Connect Secure VPN -vaihteeseen. Kummallakaan ei ole vielä laastareita.

Vaikka molempia nollapäiviä käytettiin jo aktiivisesti luonnossa, Kiinan valtion tukemat kehittyneet jatkuvat uhkatekijät (APT) (UNC5221, alias UTA0178) hyppäsivät nopeasti vikoja vastaan ​​julkistamisen jälkeen, massahyödyntämisyrityksiä maailmanlaajuisesti. Volexityn analyysi hyökkäyksistä paljasti 12 erillistä mutta lähes identtistä Rust-hyötykuormaa, jotka ladattiin vaarantuneisiin laitteisiin, jotka puolestaan ​​lataavat ja suorittavat muunnelman Sliver red-teaming -työkalusta, jonka Synacktiv-tutkija Théo Letailleur antoi nimeksi KrustyLoader.

"Sliver 11 on avoimen lähdekoodin vihollisen simulointityökalu, joka on saamassa suosiota uhkatoimijoiden keskuudessa, koska se tarjoaa käytännöllisen komento- ja valvontakehyksen”, Letailleur sanoi eilisessä analyysissään, joka tarjoaa myös tiivisteitä, Yara-säännön ja skripti havaitsemiseen ja poimimiseen kompromissiindikaattoreista (IoC). Hän huomautti, että uusittu Sliver-implantti toimii salaperäisenä ja helposti hallittavana takaovena.

"KrustyLoader - kuten kutsuin sitä - suorittaa erityisiä tarkistuksia toimiakseen vain, jos ehdot täyttyvät", hän lisäsi ja huomautti, että se on myös hyvin hämärtynyt. "Se tosiasia, että KrustyLoader on kehitetty Rustissa, tuo lisävaikeuksia saada hyvän yleiskuvan sen käyttäytymisestä."

Samaan aikaan, korjaustiedostot CVE-2024-21887 ja CVE-2023-46805 Connect Secure -verkkoyhteydet viivästyvät. Ivanti oli luvannut heille 22. tammikuuta, jolloin hän teki CISA-hälytyksen, mutta ne eivät toteutuneet. Viimeisimmässä päivityksessä, joka julkaistiin 26. tammikuuta, yritys totesi, että "tuettujen versioiden korjauspäivitysten kohdennettu julkaisu viivästyy, tämä viive vaikuttaa kaikkiin myöhempiin suunniteltuihin korjauspäivityksiin... Korjauksia tuetuille versioille julkaistaan ​​edelleen porrastettu aikataulu."

Ivanti sanoi, että se tähtää tällä viikolla korjauksiin, mutta totesi, että "korjauksen julkaisun ajoitus voi muuttua, koska asetamme etusijalle jokaisen julkaisun turvallisuuden ja laadun."

Tänään on kulunut 20 päivää haavoittuvuuksien paljastamisesta.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount