Злоумышленники используют пару критических уязвимостей нулевого дня в VPN Ivanti для развертывания набора бэкдоров на основе Rust, которые, в свою очередь, загружают вредоносное ПО с бэкдором, получившее название KrustyLoader.
Эти две ошибки были раскрыто ранее в январе (CVE-2024-21887 и CVE-2023-46805), позволяющие удаленное выполнение кода без аутентификации (RCE) и обход аутентификации соответственно, что влияет на оборудование Ivanti Connect Secure VPN. Ни у того, ни у другого еще нет патчей.
Хотя оба нулевых дня уже активно использовались в дикой природе, спонсируемые китайским государством субъекты расширенных постоянных угроз (APT) (UNC5221, также известные как UTA0178) быстро приступили к обнаружению ошибок после публичного раскрытия. растущие попытки массовой эксплуатации во всем мире. Анализ атак, проведенный компанией Volexity, выявил 12 отдельных, но почти идентичных полезных нагрузок Rust, загружаемых на взломанные устройства, которые, в свою очередь, загружают и запускают вариант инструмента красной команды Sliver, который исследователь Synacktiv Тео Летайер назвал KrustyLoader.
Щепка 11 — это инструмент моделирования противника с открытым исходным кодом, который набирает популярность среди субъектов угроз, поскольку он обеспечивает практическую структуру командования и контроля», — сказал Летайлер в своем вчерашнем анализе, который также предлагает хэши, правило Yara и скрипт для обнаружения и извлечения индикаторов компрометации (IoC). Он отметил, что обновленный имплант «Щепка» действует как незаметный и легко контролируемый бэкдор.
«KrustyLoader — как я его назвал — выполняет определенные проверки, чтобы запуститься только при соблюдении условий», — добавил он, отметив, что он также хорошо запутан. «Тот факт, что KrustyLoader был разработан на Rust, создает дополнительные трудности для получения хорошего обзора его поведения».
Между тем, патчи для CVE-2024-21887 и CVE-2023-46805 в Connect Secure VPN работают с задержкой. Иванти пообещал им 22 января, что вызвало предупреждение CISA, но они не были реализованы. В последнем обновлении своих рекомендаций по ошибкам, опубликованном 26 января, фирма отметила: «Целевой выпуск исправлений для поддерживаемых версий отложен, эта задержка влияет на все последующие запланированные выпуски исправлений… Исправления для поддерживаемых версий по-прежнему будут выпускаться график в шахматном порядке».
Ivanti заявила, что планирует внести исправления на этой неделе, но отметила, что «сроки выпуска патчей могут быть изменены, поскольку мы уделяем приоритетное внимание безопасности и качеству каждого выпуска».
На сегодняшний день прошло 20 дней с момента обнаружения уязвимостей.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
- :имеет
- :является
- 12
- 20
- 22
- 26%
- 7
- a
- активный
- актеры
- акты
- добавленный
- дополнительный
- продвинутый
- консультативный
- затрагивающий
- После
- ака
- Оповещение
- Все
- Позволяющий
- уже
- причислены
- среди
- an
- анализ
- и
- техника
- APT
- МЫ
- AS
- нападки
- попытки
- Аутентификация
- задняя дверь
- Черные ходы
- BE
- было
- поведение
- не являетесь
- изоферменты печени
- Приносит
- ошибки
- но
- байпас
- изменение
- Проверки
- китайский
- код
- скомпрометированы
- Ослабленный
- Условия
- Свяжитесь
- контроль
- критической
- Дней
- задерживать
- Задерживается
- развертывание
- обнаружение
- развитый
- затруднения
- раскрытие
- скачать
- дублированный
- каждый
- Ранее
- легко
- выполнять
- выполнение
- эксплуатация
- факт
- XNUMX ошибка
- Фирма
- исправления
- Что касается
- Рамки
- получение
- принадлежности
- хорошо
- было
- he
- его
- HTTPS
- i
- идентичный
- if
- Воздействие
- in
- индикаторы
- IT
- ЕГО
- Января
- JPG
- последний
- вредоносных программ
- Масса
- материализовать
- встретивший
- ГОРУ
- Названный
- почти
- ни
- отметил,
- отметив,
- получать
- of
- Предложения
- on
- только
- с открытым исходным кодом
- заказ
- обзор
- пара
- Патчи
- Патчи
- выполняет
- запланированный
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- популярность
- практическое
- Расставляйте приоритеты
- обещанный
- приводит
- что такое варган?
- опубликованный
- быстро
- освободить
- выпустил
- публикации
- удаленные
- исследователь
- соответственно
- Правило
- Run
- Ржавчина
- s
- Сказал
- график
- безопасный
- безопасность
- отдельный
- набор
- моделирование
- с
- конкретный
- скрытый
- По-прежнему
- предмет
- последующее
- Поддержанный
- целевое
- направлены
- который
- Ассоциация
- Их
- они
- этой
- На этой неделе
- угроза
- актеры угрозы
- синхронизация
- в
- сегодня
- инструментом
- ОЧЕРЕДЬ
- два
- непокрытый
- под
- Обновление ПО
- через
- Вариант
- версии
- VPN
- Виртуальные частные сети
- Уязвимости
- законопроект
- we
- неделя
- были
- который
- Дикий
- будете
- вчера
- еще
- зефирнет
- нуль
- уязвимости нулевого дня