「KrustyLoader」攻撃の増加により、Ivanti ゼロデイ パッチが遅延

攻撃者は、Ivanti VPN の 2 つの重大なゼロデイ脆弱性を利用して、Rust ベースのバックドア セットを導入し、「KrustyLoader」と呼ばれるバックドア マルウェアをダウンロードします。

2つのバグとは、 1月初めに明らかにされた (CVE-2024-21887 および CVE-2023-46805)、それぞれ未認証のリモート コード実行 (RCE) と認証バイパスが許可され、Ivanti の Connect Secure VPN ギアに影響します。どちらもまだパッチは適用されていません。

どちらのゼロデイもすでに実環境で積極的に悪用されていましたが、中国国家支援の高度永続的脅威 (APT) 攻撃者 (UNC5221、別名 UTA0178) は、公開後すぐにバグに飛びつきました。 世界中で大量搾取の試みが増加。 Volexity による攻撃の分析により、12 個の別々ではあるがほぼ同一の Rust ペイロードが侵害されたアプライアンスにダウンロードされていることが判明しました。これらのペイロードは、次に Synacktiv の研究者 Théo Letailleur が KrustyLoader と名付けた Sliver レッドチーム ツールの亜種をダウンロードして実行します。

「スライバ11 「これはオープンソースの敵対者シミュレーション ツールで、実用的な指揮統制フレームワークを提供するため、脅威アクターの間で人気が高まっています」と昨日の分析で Letailleur 氏は述べました。このツールにはハッシュ、Yara ルール、および 検出および抽出用のスクリプト 侵害の痕跡 (IoC) の数。同氏は、再調整されたSliverインプラントがステルスかつ簡単に制御できるバックドアとして機能すると指摘した。

「KrustyLoader（私はそれをそう呼んでいます）は、条件が満たされた場合にのみ実行するために特定のチェックを実行します」と同氏は付け加え、これも十分に難読化されていると指摘した。 「KrustyLoader が Rust で開発されたという事実により、その動作の概要を把握することがさらに困難になります。」

一方、 CVE-2024-21887 および CVE-2023-46805 のパッチ Connect Secure VPN の遅延が発生しています。イバンティ氏は22月26日にCISAの警告を発する約束をしていたが、実現しなかった。 XNUMX月XNUMX日に公開されたバグに関するアドバイザリの最新アップデートで、同社は次のように述べている。「サポートされているバージョンのパッチの目標リリースが遅れており、この遅延はその後に計画されているすべてのパッチリリースに影響を及ぼします…サポートされているバージョンのパッチは引き続きリリースされます」時差スケジュール。」

Ivantiは修正の今週を目標にしていると述べたが、「各リリースのセキュリティと品質を優先しているため、パッチリリースのタイミングは変更される可能性がある」と述べた。

本日の時点で、脆弱性の公開から 20 日が経過しました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount