Ivanti Zero-Day Patches försenade när 'KrustyLoader' attackerar monteringen

Angripare använder ett par kritiska nolldagssårbarheter i Ivanti VPN för att distribuera en Rust-baserad uppsättning bakdörrar, som i sin tur laddar ner en bakdörr skadlig kod kallad "KrustyLoader."

De två buggarna var avslöjades tidigare i januari (CVE-2024-21887 och CVE-2023-46805), vilket möjliggör oautentiserad fjärrkodexekvering (RCE) respektive förbikoppling av autentisering, vilket påverkar Ivantis Connect Secure VPN-utrustning. Ingen av dem har patchar än.

Medan båda nolldagarna redan var under aktiv exploatering i det vilda, hoppade kinesiska statssponsrade avancerade persistent hot (APT) aktörer (UNC5221, aka UTA0178) snabbt på felen efter offentliggörande, ökande massutsugningsförsök över hela världen. Volexitys analys av attackerna avslöjade 12 separata men nästan identiska Rust-nyttolaster som laddades ner till komprometterade apparater, som i sin tur laddar ner och kör en variant av Sliver red-teaming-verktyget, som Synacktiv-forskaren Théo Letailleur döpte till KrustyLoader.

"Sliver 11 är ett simuleringsverktyg med öppen källkod för motståndare som vinner popularitet bland hotaktörer, eftersom det ger ett praktiskt ramverk för kommando och kontroll”, sa Letaileur i sin analys i går, som också erbjuder hash, en Yara-regel och en skript för upptäckt och extrahering av kompromissindikatorer (IoCs). Han noterade att det rejiggerade Sliver-implantatet fungerar som en smygande och lättkontrollerad bakdörr.

"KrustyLoader - som jag kallade det - utför specifika kontroller för att endast köras om villkoren är uppfyllda", tillade han och noterade att det också är väl förvirrat. "Det faktum att KrustyLoader utvecklades i Rust ger ytterligare svårigheter att få en bra överblick över dess beteende."

Under tiden patchar för CVE-2024-21887 och CVE-2023-46805 i Connect Secure VPN är försenade. Ivanti hade lovat dem den 22 januari, vilket ledde till en CISA-varning, men de lyckades inte förverkligas. I den senaste uppdateringen av sitt råd om buggar, publicerad den 26 januari, noterade företaget: "Den riktade utgivningen av patchar för versioner som stöds är försenad, denna fördröjning påverkar alla efterföljande planerade patchsläpp ... Patchar för versioner som stöds kommer fortfarande att släppas på ett förskjutet schema."

Ivanti sa att det är inriktat på korrigeringarna den här veckan, men noterade att "timingen för uppdatering av patch kan ändras eftersom vi prioriterar säkerheten och kvaliteten för varje release."

I dag har det gått 20 dagar sedan sårbarheterna avslöjades.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount