A támadók egy pár kritikus nulladik napi sebezhetőséget használnak az Ivanti VPN-ekben, hogy Rozsda-alapú hátsó ajtókat telepítsenek, amelyek viszont letöltik a „KrustyLoader” névre keresztelt hátsó ajtó rosszindulatú programot.
A két hiba volt januárban közölték (CVE-2024-21887 és CVE-2023-46805), lehetővé téve a hitelesítés nélküli távoli kódvégrehajtást (RCE) és a hitelesítés megkerülését, ami hatással van az Ivanti Connect Secure VPN eszközére. Egyiknek sincs még foltja.
Bár mindkét nulladik napot már aktívan kizsákmányolták a vadonban, a kínai állam által szponzorált fejlett tartós fenyegetés (APT) szereplői (UNC5221, más néven UTA0178) a nyilvánosságra hozatal után gyorsan ráugrottak a hibákra. tömeges kizsákmányolási kísérletek fokozódnak világszerte. A Volexity a támadások elemzése során 12 különálló, de közel azonos Rust rakományt tárt fel, amelyeket a kompromittált készülékekre töltöttek le, amelyek viszont letöltik és végrehajtják a Sliver red-teaming eszköz egy változatát, amelyet a Synacktiv kutatója, Théo Letailleur KrustyLoadernek nevezett el.
"Slim 11 egy nyílt forráskódú ellenfélszimulációs eszköz, amely egyre népszerűbb a fenyegetés szereplői körében, mivel praktikus parancs- és irányítási keretet biztosít” – mondta Letailleur tegnapi elemzésében, amely hash-eket, Yara-szabályt és szkript az észleléshez és a kinyeréshez a kompromisszum mutatóinak (IoC-k). Megjegyezte, hogy a rejiggerelt Sliver implantátum lopakodó és könnyen irányítható hátsó ajtóként működik.
„A KrustyLoader – ahogy én elneveztem – speciális ellenőrzéseket hajt végre annak érdekében, hogy csak akkor fusson, ha a feltételek teljesülnek” – tette hozzá, megjegyezve, hogy ez is jól el van homályosítva. "Az a tény, hogy a KrustyLoader-t Rustban fejlesztették ki, további nehézségeket okoz a viselkedéséről való jó áttekintés megszerzésében."
Eközben, a javítások a CVE-2024-21887 és CVE-2023-46805 számára a Connect biztonságos VPN-ek késnek. Ivanti január 22-re ígérte nekik, hogy CISA-riasztást adtak ki, de nem sikerült. A hibákkal kapcsolatos tanácsának legfrissebb frissítésében, amelyet január 26-án tettek közzé, a cég megjegyezte: „A támogatott verziókhoz tartozó javítások célzott kiadása késik, ez a késedelem hatással lesz az összes későbbi tervezett javítási kiadásra… A támogatott verziók javításai továbbra is megjelennek lépcsőzetes ütemterv.”
Ivanti azt mondta, hogy ezt a hetet célozza meg a javításokkal, de megjegyezte, hogy "a javítások kiadásának időpontja változhat, mivel minden egyes kiadás biztonságát és minőségét prioritásként kezeljük."
A mai állás szerint 20 nap telt el a sérülékenységek nyilvánosságra hozatala óta.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
- :van
- :is
- 12
- 20
- 22
- 26%
- 7
- a
- aktív
- szereplők
- cselekmények
- hozzáadott
- További
- fejlett
- tanácsadó
- érintő
- Után
- aka
- Éber
- Minden termék
- lehetővé téve
- már
- Is
- között
- an
- elemzés
- és a
- készülékek
- APT
- VANNAK
- AS
- Támadások
- Kísérletek
- Hitelesítés
- hátsó ajtó
- Hátsóajtó
- BE
- óta
- viselkedés
- hogy
- mindkét
- Bring
- bogarak
- de
- kitérő
- változik
- Ellenőrzések
- kínai
- kód
- kompromisszum
- Veszélyeztetett
- Körülmények
- Csatlakozás
- vezérelt
- kritikai
- Nap
- késleltetés
- Késik
- telepíteni
- Érzékelés
- fejlett
- nehézségek
- közzététel
- letöltés
- szinkronizált
- minden
- Korábban
- könnyen
- kivégez
- végrehajtás
- kizsákmányolás
- tény
- Sikertelen
- Cég
- javítások
- A
- Keretrendszer
- egyre
- Fogaskerék
- jó
- kellett
- he
- övé
- HTTPS
- i
- identiques
- if
- Hatások
- in
- mutatók
- IT
- ITS
- január
- jpg
- legutolsó
- malware
- Tömeg
- megvalósul
- találkozott
- SZERELJÜK
- Nevezett
- közel
- Se
- neves
- megjegyezve,
- szerez
- of
- Ajánlatok
- on
- csak
- nyílt forráskódú
- érdekében
- áttekintés
- pár
- Tapasz
- Patches
- Előadja
- tervezett
- Plató
- Platón adatintelligencia
- PlatoData
- népszerűség
- Gyakorlati
- Fontossági sorrendet
- igért
- biztosít
- nyilvános
- közzétett
- világítás
- gyorsan
- engedje
- felszabaduló
- Releases
- távoli
- kutató
- illetőleg
- Szabály
- futás
- Rozsda
- s
- Mondott
- menetrend
- biztonság
- biztonság
- különálló
- készlet
- tettetés
- óta
- különleges
- titkos
- Még mindig
- tárgy
- későbbi
- Támogatott
- célzott
- célzás
- hogy
- A
- Őket
- ők
- ezt
- ezen a héten
- fenyegetés
- fenyegetés szereplői
- időzítés
- nak nek
- Ma
- szerszám
- FORDULAT
- kettő
- fedetlen
- alatt
- Frissítések
- segítségével
- Változat
- verzió
- VPN
- VPN
- sérülékenységek
- volt
- we
- hét
- voltak
- ami
- Vadon
- lesz
- tegnap
- még
- zephyrnet
- nulla
- nulladik napi sebezhetőség