Patch Ivanti Zero-Day ritardate poiché "KrustyLoader" attacca la montagna

Gli aggressori stanno utilizzando un paio di vulnerabilità zero-day critiche nelle VPN Ivanti per implementare una serie di backdoor basate su Rust, che a loro volta scaricano un malware backdoor denominato “KrustyLoader”.

I due insetti erano reso noto all'inizio di gennaio (CVE-2024-21887 e CVE-2023-46805), consentendo rispettivamente l'esecuzione di codice remoto (RCE) non autenticato e il bypass dell'autenticazione, influenzando l'attrezzatura Connect Secure VPN di Ivanti. Nessuno dei due ha ancora le patch.

Mentre entrambi gli zero day erano già sotto sfruttamento attivo in natura, gli autori delle minacce avanzate persistenti (APT) sponsorizzate dallo stato cinese (UNC5221, alias UTA0178) si sono rapidamente lanciati sui bug dopo la divulgazione pubblica, crescenti tentativi di sfruttamento di massa in tutto il mondo. L'analisi degli attacchi condotta da Volexity ha scoperto che 12 payload Rust separati ma quasi identici venivano scaricati su apparecchi compromessi, che a loro volta scaricano ed eseguono una variante dello strumento di red-teaming di Sliver, che il ricercatore di Synacktiv Théo Letailleur ha chiamato KrustyLoader.

"Tramutante 11 è uno strumento di simulazione di un avversario open source che sta guadagnando popolarità tra gli autori di minacce, poiché fornisce un pratico quadro di comando e controllo", ha affermato Letailleur nella sua analisi di ieri, che offre anche hash, una regola Yara e un script per il rilevamento e l'estrazione degli indicatori di compromesso (IoC). Ha notato che l'impianto del Tramutante riorganizzato agisce come una backdoor furtiva e facilmente controllabile.

"KrustyLoader, come l'ho soprannominato, esegue controlli specifici per funzionare solo se le condizioni sono soddisfatte", ha aggiunto, sottolineando che è anche ben offuscato. "Il fatto che KrustyLoader sia stato sviluppato in Rust comporta ulteriori difficoltà nell'ottenere una buona panoramica del suo comportamento."

Nel frattempo, la patch per CVE-2024-21887 e CVE-2023-46805 in Connect Secure VPN subiscono ritardi. Ivanti li aveva promessi il 22 gennaio, provocando un'allerta CISA, ma non si sono concretizzati. Nell'ultimo aggiornamento del suo avviso sui bug, pubblicato il 26 gennaio, l'azienda ha osservato: "Il rilascio mirato di patch per le versioni supportate è ritardato, questo ritardo influisce su tutti i successivi rilasci di patch pianificati... Le patch per le versioni supportate verranno comunque rilasciate il un programma scaglionato."

Ivanti ha affermato che l'obiettivo è questa settimana per le correzioni, ma ha osservato che "i tempi di rilascio delle patch sono soggetti a modifiche poiché diamo priorità alla sicurezza e alla qualità di ogni versione".

Ad oggi sono trascorsi 20 giorni dalla divulgazione delle vulnerabilità.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount