Patch Zero-Day Ivanti Tertunda karena Serangan 'KrustyLoader' Meningkat

Penyerang menggunakan sepasang kerentanan kritis zero-day di Ivanti VPN untuk menyebarkan serangkaian pintu belakang berbasis Rust, yang pada gilirannya mengunduh malware pintu belakang yang dijuluki “KrustyLoader.”

Kedua bug itu adalah diungkapkan pada awal bulan Januari (CVE-2024-21887 dan CVE-2023-46805), masing-masing memungkinkan eksekusi kode jarak jauh (RCE) dan bypass autentikasi yang tidak diautentikasi, sehingga memengaruhi perangkat Connect Secure VPN Ivanti. Belum ada patchnya juga.

Meskipun kedua zero day tersebut telah dieksploitasi secara aktif di alam liar, pelaku ancaman persisten tingkat lanjut (APT) yang disponsori negara Tiongkok (UNC5221, alias UTA0178) dengan cepat menemukan bug tersebut setelah pengungkapan publik. meningkatnya upaya eksploitasi massal di seluruh dunia. Analisis Volexity terhadap serangan tersebut menemukan 12 muatan Rust yang terpisah namun hampir identik sedang diunduh ke peralatan yang disusupi, yang pada gilirannya mengunduh dan mengeksekusi varian alat tim merah Sliver, yang oleh peneliti Synacktiv Théo Letailleur diberi nama KrustyLoader.

"Sliver 11 adalah alat simulasi musuh bersumber terbuka yang semakin populer di kalangan pelaku ancaman, karena menyediakan kerangka komando dan kontrol yang praktis,” kata Letailleur dalam analisisnya kemarin, yang juga menawarkan hash, aturan Yara, dan a skrip untuk deteksi dan ekstraksi indikator kompromi (IoCs). Dia mencatat bahwa implan Sliver yang dipasang kembali bertindak sebagai pintu belakang yang tersembunyi dan mudah dikendalikan.

“KrustyLoader — begitu saya menyebutnya — melakukan pemeriksaan khusus untuk berjalan hanya jika kondisi terpenuhi,” tambahnya, sambil mencatat bahwa hal itu juga dikaburkan. “Fakta bahwa KrustyLoader dikembangkan di Rust membawa kesulitan tambahan untuk mendapatkan gambaran yang baik tentang perilakunya.”

Sementara itu, para patch untuk CVE-2024-21887 dan CVE-2023-46805 di Connect Secure VPN tertunda. Ivanti telah menjanjikan hal tersebut pada tanggal 22 Januari, sehingga memicu peringatan CISA, namun janji tersebut gagal diwujudkan. Dalam pembaruan terbaru pada sarannya mengenai bug, yang diterbitkan pada tanggal 26 Januari, perusahaan tersebut mencatat, “Rilis patch yang ditargetkan untuk versi yang didukung tertunda, penundaan ini berdampak pada semua rilis patch yang direncanakan berikutnya… Patch untuk versi yang didukung akan tetap dirilis pada jadwal yang terhuyung-huyung.”

Ivanti mengatakan pihaknya menargetkan perbaikan pada minggu ini, namun mencatat bahwa “waktu rilis patch dapat berubah karena kami memprioritaskan keamanan dan kualitas setiap rilis.”

Hingga hari ini, sudah 20 hari sejak pengungkapan kerentanan tersebut.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount