Ivanti Zero-Day Patches Delayed, mivel a 'KrustyLoader' megtámadja a Mountot

A támadók egy pár kritikus nulladik napi sebezhetőséget használnak az Ivanti VPN-ekben, hogy Rozsda-alapú hátsó ajtókat telepítsenek, amelyek viszont letöltik a „KrustyLoader” névre keresztelt hátsó ajtó rosszindulatú programot.

A két hiba volt januárban közölték (CVE-2024-21887 és CVE-2023-46805), lehetővé téve a hitelesítés nélküli távoli kódvégrehajtást (RCE) és a hitelesítés megkerülését, ami hatással van az Ivanti Connect Secure VPN eszközére. Egyiknek sincs még foltja.

Bár mindkét nulladik napot már aktívan kizsákmányolták a vadonban, a kínai állam által szponzorált fejlett tartós fenyegetés (APT) szereplői (UNC5221, más néven UTA0178) a nyilvánosságra hozatal után gyorsan ráugrottak a hibákra. tömeges kizsákmányolási kísérletek fokozódnak világszerte. A Volexity a támadások elemzése során 12 különálló, de közel azonos Rust rakományt tárt fel, amelyeket a kompromittált készülékekre töltöttek le, amelyek viszont letöltik és végrehajtják a Sliver red-teaming eszköz egy változatát, amelyet a Synacktiv kutatója, Théo Letailleur KrustyLoadernek nevezett el.

"Slim 11 egy nyílt forráskódú ellenfélszimulációs eszköz, amely egyre népszerűbb a fenyegetés szereplői körében, mivel praktikus parancs- és irányítási keretet biztosít” – mondta Letailleur tegnapi elemzésében, amely hash-eket, Yara-szabályt és szkript az észleléshez és a kinyeréshez a kompromisszum mutatóinak (IoC-k). Megjegyezte, hogy a rejiggerelt Sliver implantátum lopakodó és könnyen irányítható hátsó ajtóként működik.

„A KrustyLoader – ahogy én elneveztem – speciális ellenőrzéseket hajt végre annak érdekében, hogy csak akkor fusson, ha a feltételek teljesülnek” – tette hozzá, megjegyezve, hogy ez is jól el van homályosítva. "Az a tény, hogy a KrustyLoader-t Rustban fejlesztették ki, további nehézségeket okoz a viselkedéséről való jó áttekintés megszerzésében."

Eközben, a javítások a CVE-2024-21887 és CVE-2023-46805 számára a Connect biztonságos VPN-ek késnek. Ivanti január 22-re ígérte nekik, hogy CISA-riasztást adtak ki, de nem sikerült. A hibákkal kapcsolatos tanácsának legfrissebb frissítésében, amelyet január 26-án tettek közzé, a cég megjegyezte: „A támogatott verziókhoz tartozó javítások célzott kiadása késik, ez a késedelem hatással lesz az összes későbbi tervezett javítási kiadásra… A támogatott verziók javításai továbbra is megjelennek lépcsőzetes ütemterv.”

Ivanti azt mondta, hogy ezt a hetet célozza meg a javításokkal, de megjegyezte, hogy "a javítások kiadásának időpontja változhat, mivel minden egyes kiadás biztonságát és minőségét prioritásként kezeljük."

A mai állás szerint 20 nap telt el a sérülékenységek nyilvánosságra hozatala óta.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount