Ivanti Zero-Day Patcher forsinket da 'KrustyLoader' angriper montering

Angripere bruker et par kritiske nulldagssårbarheter i Ivanti VPN-er for å distribuere et Rust-basert sett med bakdører, som igjen laster ned en bakdørs malware kalt "KrustyLoader."

De to feilene var avslørt tidligere i januar (CVE-2024-21887 og CVE-2023-46805), som tillater henholdsvis uautentisert ekstern kjøring av kode (RCE) og omgåelse av autentisering, som påvirker Ivantis Connect Secure VPN-utstyr. Ingen av dem har patcher ennå.

Mens begge nulldagene allerede var under aktiv utnyttelse i naturen, hoppet kinesiske statssponsede avanserte vedvarende trusler (APT) aktører (UNC5221, aka UTA0178) raskt på feilene etter offentlig avsløring, økende masseutnyttelsesforsøk over hele verden. Volexitys analyse av angrepene avdekket 12 separate, men nesten identiske Rust-nyttelaster som ble lastet ned til kompromitterte apparater, som igjen laster ned og kjører en variant av Sliver red-teaming-verktøyet, som Synacktiv-forsker Théo Letailleur kalte KrustyLoader.

"Sliver 11 er et åpen kildekode-simuleringsverktøy for motstander som blir stadig mer populært blant trusselaktører, siden det gir et praktisk kommando-og-kontroll-rammeverk, sa Letailleur i sin analyse i går, som også tilbyr hasher, en Yara-regel og en skript for deteksjon og utvinning av indikatorer for kompromiss (IoCs). Han bemerket at det rejiggerte Sliver-implantatet fungerer som en snikende og lett kontrollert bakdør.

"KrustyLoader - som jeg kalte det - utfører spesifikke kontroller for å kjøre bare hvis betingelsene er oppfylt," la han til, og la merke til at den også er godt tilsløret. "Det faktum at KrustyLoader ble utviklet i Rust gir ytterligere problemer for å få en god oversikt over oppførselen."

I mellomtiden patcher for CVE-2024-21887 og CVE-2023-46805 i Connect Secure VPN-er er forsinket. Ivanti hadde lovet dem 22. januar, noe som førte til et CISA-varsel, men de ble ikke realisert. I den siste oppdateringen til sin veiledning om feilene, publisert 26. januar, bemerket firmaet: "Den målrettede utgivelsen av oppdateringer for støttede versjoner er forsinket, denne forsinkelsen påvirker alle påfølgende planlagte oppdateringsutgivelser ... Patcher for støttede versjoner vil fortsatt bli utgitt på en forskjøvet tidsplan."

Ivanti sa at den er rettet mot denne uken for rettelsene, men bemerket at "tidspunktet for utgivelse av oppdateringer kan endres ettersom vi prioriterer sikkerheten og kvaliteten til hver utgivelse."

Per i dag har det gått 20 dager siden avsløringen av sårbarhetene.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount