攻撃者は、Ivanti VPN の 2 つの重大なゼロデイ脆弱性を利用して、Rust ベースのバックドア セットを導入し、「KrustyLoader」と呼ばれるバックドア マルウェアをダウンロードします。
2つのバグとは、 1月初めに明らかにされた (CVE-2024-21887 および CVE-2023-46805)、それぞれ未認証のリモート コード実行 (RCE) と認証バイパスが許可され、Ivanti の Connect Secure VPN ギアに影響します。どちらもまだパッチは適用されていません。
どちらのゼロデイもすでに実環境で積極的に悪用されていましたが、中国国家支援の高度永続的脅威 (APT) 攻撃者 (UNC5221、別名 UTA0178) は、公開後すぐにバグに飛びつきました。 世界中で大量搾取の試みが増加。 Volexity による攻撃の分析により、12 個の別々ではあるがほぼ同一の Rust ペイロードが侵害されたアプライアンスにダウンロードされていることが判明しました。これらのペイロードは、次に Synacktiv の研究者 Théo Letailleur が KrustyLoader と名付けた Sliver レッドチーム ツールの亜種をダウンロードして実行します。
「スライバ11 「これはオープンソースの敵対者シミュレーション ツールで、実用的な指揮統制フレームワークを提供するため、脅威アクターの間で人気が高まっています」と昨日の分析で Letailleur 氏は述べました。このツールにはハッシュ、Yara ルール、および 検出および抽出用のスクリプト 侵害の痕跡 (IoC) の数。同氏は、再調整されたSliverインプラントがステルスかつ簡単に制御できるバックドアとして機能すると指摘した。
「KrustyLoader(私はそれをそう呼んでいます)は、条件が満たされた場合にのみ実行するために特定のチェックを実行します」と同氏は付け加え、これも十分に難読化されていると指摘した。 「KrustyLoader が Rust で開発されたという事実により、その動作の概要を把握することがさらに困難になります。」
一方、 CVE-2024-21887 および CVE-2023-46805 のパッチ Connect Secure VPN の遅延が発生しています。イバンティ氏は22月26日にCISAの警告を発する約束をしていたが、実現しなかった。 XNUMX月XNUMX日に公開されたバグに関するアドバイザリの最新アップデートで、同社は次のように述べている。「サポートされているバージョンのパッチの目標リリースが遅れており、この遅延はその後に計画されているすべてのパッチリリースに影響を及ぼします…サポートされているバージョンのパッチは引き続きリリースされます」時差スケジュール。」
Ivantiは修正の今週を目標にしていると述べたが、「各リリースのセキュリティと品質を優先しているため、パッチリリースのタイミングは変更される可能性がある」と述べた。
本日の時点で、脆弱性の公開から 20 日が経過しました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
- :持っている
- :は
- 12
- 20
- 22
- 視聴者の38%が
- 7
- a
- アクティブ
- 俳優
- 使徒行伝
- 追加されました
- NEW
- 高度な
- アドバイザリー
- 影響
- 後
- 別名
- 警告
- すべて
- 許可
- 既に
- また
- 間で
- an
- 分析
- および
- 家電
- APT
- です
- AS
- 攻撃
- 試み
- 認証
- 裏口
- バックドア
- BE
- き
- 行動
- さ
- 両言語で
- もたらす
- バグ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- 変化する
- 小切手
- 中国語
- コード
- 妥協
- 損害を受けた
- 条件
- お問合せ
- 制御
- 重大な
- 日
- 遅らせる
- 遅延
- 展開します
- 検出
- 発展した
- 困難
- 開示
- ダウンロード
- ダビングされた
- 各
- 前
- 簡単に
- 実行します
- 実行
- 搾取
- 実際
- Failed:
- 会社
- 修正
- フレームワーク
- 獲得
- ギア
- 良い
- 持っていました
- he
- 彼の
- HTTPS
- i
- 同一の
- if
- 影響
- in
- インジケータ
- IT
- ITS
- ジョン
- JPG
- 最新の
- マルウェア
- 質量
- 実現する
- 会った
- MOUNT
- 名前付き
- ほぼ
- どちらでもありません
- 注意
- 注記
- 入手する
- of
- オファー
- on
- の
- オープンソース
- 注文
- 概要
- ペア
- パッチ
- パッチ
- 実行する
- 計画されました
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 人気
- 実用的
- 優先順位をつける
- 約束された
- は、大阪で
- 公共
- 公表
- 品質
- すぐに
- リリース
- リリース
- リリース
- リモート
- 研究者
- それぞれ
- ルール
- ラン
- さび
- s
- 前記
- スケジュール
- 安全に
- セキュリティ
- 別
- セッションに
- から
- 特定の
- 内密の
- まだ
- テーマ
- それに続きます
- サポート
- 対象となります
- ターゲット
- それ
- それら
- 彼ら
- この
- 今週
- 脅威
- 脅威アクター
- タイミング
- 〜へ
- 今日
- ツール
- 順番
- 2
- 発見
- 下
- アップデイト
- バリアント
- バージョン
- VPN
- VPN
- 脆弱性
- ました
- we
- 週間
- した
- which
- ワイルド
- 意志
- 昨日
- まだ
- ゼファーネット
- ゼロ
- ゼロデイ脆弱性