Patches de dia zero da Ivanti adiados à medida que ataques 'KrustyLoader' aumentam

Os invasores estão usando um par de vulnerabilidades críticas de dia zero nas VPNs Ivanti para implantar um conjunto de backdoors baseados em Rust, que por sua vez baixam um malware backdoor chamado “KrustyLoader”.

Os dois bugs foram divulgado no início de janeiro (CVE-2024-21887 e CVE-2023-46805), permitindo execução remota de código (RCE) não autenticado e desvio de autenticação, respectivamente, afetando o equipamento Connect Secure VPN da Ivanti. Nenhum dos dois tem patches ainda.

Embora ambos os dias zero já estivessem sob exploração ativa, os atores de ameaças persistentes avançadas (APT) patrocinados pelo estado chinês (UNC5221, também conhecido como UTA0178) rapidamente atacaram os bugs após a divulgação pública, crescentes tentativas de exploração em massa em todo o mundo. A análise dos ataques da Volexity descobriu 12 cargas Rust separadas, mas quase idênticas, sendo baixadas para dispositivos comprometidos, que por sua vez baixam e executam uma variante da ferramenta Sliver red-teaming, que o pesquisador da Synacktiv, Théo Letailleur, chamou de KrustyLoader.

"Sliver 11 é uma ferramenta de simulação de adversário de código aberto que está ganhando popularidade entre os atores de ameaças, pois fornece uma estrutura prática de comando e controle”, disse Letailleur em sua análise ontem, que também oferece hashes, uma regra Yara e um script para detecção e extração de indicadores de compromisso (IoCs). Ele observou que o implante Sliver reformulado atua como uma porta dos fundos furtiva e facilmente controlada.

“O KrustyLoader – como eu o apelidei – realiza verificações específicas para ser executado somente se as condições forem atendidas”, acrescentou, observando que também é bem ofuscado. “O fato do KrustyLoader ter sido desenvolvido em Rust traz dificuldades adicionais para se obter uma boa visão geral de seu comportamento.”

Enquanto isso, o patches para CVE-2024-21887 e CVE-2023-46805 no Connect Secure VPNs estão atrasadas. Ivanti os havia prometido em 22 de janeiro, gerando um alerta da CISA, mas eles não se concretizaram. Na última atualização de seu comunicado sobre bugs, publicada em 26 de janeiro, a empresa observou: “O lançamento direcionado de patches para versões suportadas está atrasado, esse atraso afeta todos os lançamentos de patches planejados subsequentes… Patches para versões suportadas ainda serão lançados em um cronograma escalonado.”

Ivanti disse que tem como meta as correções esta semana, mas observou que “o momento do lançamento do patch está sujeito a alterações, pois priorizamos a segurança e a qualidade de cada lançamento”.

A partir de hoje, já se passaram 20 dias desde a divulgação das vulnerabilidades.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount