Обновления Ivanti Zero-Day отложены из-за роста атак KrustyLoader

Злоумышленники используют пару критических уязвимостей нулевого дня в VPN Ivanti для развертывания набора бэкдоров на основе Rust, которые, в свою очередь, загружают вредоносное ПО с бэкдором, получившее название KrustyLoader.

Эти две ошибки были раскрыто ранее в январе (CVE-2024-21887 и CVE-2023-46805), позволяющие удаленное выполнение кода без аутентификации (RCE) и обход аутентификации соответственно, что влияет на оборудование Ivanti Connect Secure VPN. Ни у того, ни у другого еще нет патчей.

Хотя оба нулевых дня уже активно использовались в дикой природе, спонсируемые китайским государством субъекты расширенных постоянных угроз (APT) (UNC5221, также известные как UTA0178) быстро приступили к обнаружению ошибок после публичного раскрытия. растущие попытки массовой эксплуатации во всем мире. Анализ атак, проведенный компанией Volexity, выявил 12 отдельных, но почти идентичных полезных нагрузок Rust, загружаемых на взломанные устройства, которые, в свою очередь, загружают и запускают вариант инструмента красной команды Sliver, который исследователь Synacktiv Тео Летайер назвал KrustyLoader.

Щепка 11 — это инструмент моделирования противника с открытым исходным кодом, который набирает популярность среди субъектов угроз, поскольку он обеспечивает практическую структуру командования и контроля», — сказал Летайлер в своем вчерашнем анализе, который также предлагает хэши, правило Yara и скрипт для обнаружения и извлечения индикаторов компрометации (IoC). Он отметил, что обновленный имплант «Щепка» действует как незаметный и легко контролируемый бэкдор.

«KrustyLoader — как я его назвал — выполняет определенные проверки, чтобы запуститься только при соблюдении условий», — добавил он, отметив, что он также хорошо запутан. «Тот факт, что KrustyLoader был разработан на Rust, создает дополнительные трудности для получения хорошего обзора его поведения».

Между тем, патчи для CVE-2024-21887 и CVE-2023-46805 в Connect Secure VPN работают с задержкой. Иванти пообещал им 22 января, что вызвало предупреждение CISA, но они не были реализованы. В последнем обновлении своих рекомендаций по ошибкам, опубликованном 26 января, фирма отметила: «Целевой выпуск исправлений для поддерживаемых версий отложен, эта задержка влияет на все последующие запланированные выпуски исправлений… Исправления для поддерживаемых версий по-прежнему будут выпускаться график в шахматном порядке».

Ivanti заявила, что планирует внести исправления на этой неделе, но отметила, что «сроки выпуска патчей могут быть изменены, поскольку мы уделяем приоритетное внимание безопасности и качеству каждого выпуска».

На сегодняшний день прошло 20 дней с момента обнаружения уязвимостей.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount