Ivanti Zero-Day Patch ล่าช้าเนื่องจาก 'KrustyLoader' โจมตี Mount

ผู้โจมตีใช้ช่องโหว่ซีโรเดย์ที่สำคัญคู่หนึ่งใน Ivanti VPN เพื่อปรับใช้ชุดแบ็คดอร์ที่ใช้ Rust ซึ่งจะดาวน์โหลดมัลแวร์แบ็คดอร์ที่เรียกว่า “KrustyLoader”

ข้อบกพร่องทั้งสองคือ เปิดเผยเมื่อต้นเดือนมกราคม (CVE-2024-21887 และ CVE-2023-46805) อนุญาตการเรียกใช้โค้ดจากระยะไกล (RCE) ที่ไม่ผ่านการตรวจสอบสิทธิ์และการเลี่ยงผ่านการตรวจสอบสิทธิ์ ตามลำดับ ซึ่งส่งผลต่ออุปกรณ์ Connect Secure VPN ของ Ivanti ยังไม่มีแพทช์เลย

ในขณะที่ศูนย์ทั้งสองวันอยู่ภายใต้การเอารัดเอาเปรียบอย่างแข็งขันในป่า ผู้แสดงภัยคุกคามขั้นสูง (APT) ที่รัฐสนับสนุนโดยจีน (UNC5221 หรือที่รู้จักในชื่อ UTA0178) กระโดดเข้าหาจุดบกพร่องอย่างรวดเร็วหลังจากการเปิดเผยต่อสาธารณะ เพิ่มความพยายามแสวงหาผลประโยชน์จำนวนมากทั่วโลก. การวิเคราะห์การโจมตีของ Volexity พบว่ามีการดาวน์โหลด Rust 12 รายการแยกกันแต่เกือบจะเหมือนกันทั้งหมดไปยังอุปกรณ์ที่ถูกบุกรุก ซึ่งในทางกลับกันจะดาวน์โหลดและเรียกใช้เครื่องมือ Sliver red-teaming ซึ่งนักวิจัยของ Synacktiv Théo Letailleur ตั้งชื่อว่า KrustyLoader

"เศษไม้ 11 เป็นเครื่องมือจำลองศัตรูแบบโอเพ่นซอร์สที่กำลังได้รับความนิยมในหมู่ผู้คุกคาม เนื่องจากมีกรอบคำสั่งและการควบคุมที่ใช้งานได้จริง” Letailleur กล่าวในการวิเคราะห์ของเขาเมื่อวานนี้ ซึ่งยังมีแฮช กฎ Yara และ สคริปต์สำหรับการตรวจจับและการแยก ของตัวชี้วัดการประนีประนอม (IoCs) เขาตั้งข้อสังเกตว่าการปลูกถ่าย Sliver ที่ถูก rejiggered ทำหน้าที่เป็นแบ็คดอร์ที่ซ่อนเร้นและควบคุมได้ง่าย

“KrustyLoader — ตามที่ฉันเรียกมัน — ดำเนินการตรวจสอบเฉพาะเพื่อที่จะทำงานเฉพาะเมื่อตรงตามเงื่อนไขเท่านั้น” เขากล่าวเสริมโดยสังเกตว่ามันยังซับซ้อนอีกด้วย “ความจริงที่ว่า KrustyLoader ได้รับการพัฒนาใน Rust นำมาซึ่งความยากลำบากเพิ่มเติมในการรับภาพรวมที่ดีของพฤติกรรมของมัน”

ในขณะเดียวกัน แพทช์สำหรับ CVE-2024-21887 และ CVE-2023-46805 ใน Connect Secure VPN มีความล่าช้า อิวานตีให้สัญญากับพวกเขาเมื่อวันที่ 22 มกราคม โดยได้รับการแจ้งเตือนจาก CISA แต่พวกเขาก็ล้มเหลว ในการอัปเดตล่าสุดสำหรับคำแนะนำเกี่ยวกับจุดบกพร่องซึ่งเผยแพร่เมื่อวันที่ 26 มกราคม บริษัทตั้งข้อสังเกตว่า “การเปิดตัวแพทช์ตามเป้าหมายสำหรับเวอร์ชันที่รองรับมีความล่าช้า ความล่าช้านี้ส่งผลกระทบต่อการเปิดตัวแพทช์ที่วางแผนไว้ในภายหลังทั้งหมด … แพทช์สำหรับเวอร์ชันที่รองรับจะยังคงเผยแพร่ใน ตารางงานที่เซ”

Ivanti กล่าวว่ามีเป้าหมายในสัปดาห์นี้สำหรับการแก้ไข แต่ตั้งข้อสังเกตว่า "ช่วงเวลาของการเปิดตัวแพทช์อาจมีการเปลี่ยนแปลงเนื่องจากเราจัดลำดับความสำคัญด้านความปลอดภัยและคุณภาพของแต่ละรุ่น"

ณ วันนี้ เป็นเวลา 20 วันแล้วนับตั้งแต่การเปิดเผยช่องโหว่

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount