Aktualizacje Ivanti Zero-Day opóźnione ze względu na ataki „KrustyLoader”.

Atakujący wykorzystują parę krytycznych luk dnia zerowego w sieciach VPN Ivanti, aby wdrożyć zestaw backdoorów opartych na Rust, które z kolei pobierają szkodliwe oprogramowanie typu backdoor o nazwie „KrustyLoader”.

Te dwa błędy były ujawniono na początku stycznia (CVE-2024-21887 i CVE-2023-46805), umożliwiające odpowiednio nieuwierzytelnione zdalne wykonanie kodu (RCE) i obejście uwierzytelniania, wpływające na sprzęt Connect Secure VPN firmy Ivanti. Żadne z nich nie ma jeszcze poprawek.

Chociaż oba dni zerowe były już aktywnie wykorzystywane w środowisku naturalnym, sponsorowane przez chińskie państwo podmioty zajmujące się zaawansowanymi trwałymi zagrożeniami (APT) (UNC5221, czyli UTA0178) szybko opanowały błędy po ich publicznym ujawnieniu. nasilające się próby masowego wyzysku na całym świecie. Analiza ataków przeprowadzona przez Volexity ujawniła, że ​​12 oddzielnych, ale prawie identycznych ładunków Rusta jest pobieranych do zaatakowanych urządzeń, które z kolei pobierają i uruchamiają wariant narzędzia Sliver red-teaming, które Théo Letailleur, badacz Synacktiv, nazwał KrustyLoader.

"Sliver 11 to narzędzie do symulacji przeciwnika o otwartym kodzie źródłowym, które zyskuje popularność wśród cyberprzestępców, ponieważ zapewnia praktyczne ramy dowodzenia i kontroli” – stwierdził Letailleur w swojej wczorajszej analizie, która oferuje również skróty, regułę Yara i skrypt do wykrywania i ekstrakcji wskaźników kompromisu (IoC). Zauważył, że przestawiony implant Sliver działa jak ukryte i łatwe do kontrolowania tylne wejście.

„KrustyLoader — jak go nazwałem — wykonuje określone kontrole, aby działać tylko wtedy, gdy zostaną spełnione warunki” – dodał, zauważając, że jest również dobrze zaciemniony. „Fakt, że KrustyLoader został opracowany w Rust, powoduje dodatkowe trudności w uzyskaniu dobrego przeglądu jego zachowania.”

Tymczasem poprawki dla CVE-2024-21887 i CVE-2023-46805 w Connect Secure VPN są opóźnione. Ivanti obiecał je 22 stycznia, co spowodowało ostrzeżenie CISA, ale nie doszło do skutku. W najnowszej aktualizacji swojego poradnika dotyczącego błędów, opublikowanego 26 stycznia, firma zauważyła: „Docelowe wydanie poprawek dla obsługiwanych wersji jest opóźnione, to opóźnienie ma wpływ na wszystkie kolejne planowane wydania poprawek… Poprawki dla obsługiwanych wersji będą nadal wydawane rozłożony harmonogram.”

Firma Ivanti oświadczyła, że ​​zamierza wprowadzić poprawki w tym tygodniu, ale zauważyła, że ​​„termin wydania łatki może ulec zmianie, ponieważ priorytetowo traktujemy bezpieczeństwo i jakość każdego wydania”.

Na dzień dzisiejszy minęło 20 dni od ujawnienia luk.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount