ผู้โจมตีใช้ช่องโหว่ซีโรเดย์ที่สำคัญคู่หนึ่งใน Ivanti VPN เพื่อปรับใช้ชุดแบ็คดอร์ที่ใช้ Rust ซึ่งจะดาวน์โหลดมัลแวร์แบ็คดอร์ที่เรียกว่า “KrustyLoader”
ข้อบกพร่องทั้งสองคือ เปิดเผยเมื่อต้นเดือนมกราคม (CVE-2024-21887 และ CVE-2023-46805) อนุญาตการเรียกใช้โค้ดจากระยะไกล (RCE) ที่ไม่ผ่านการตรวจสอบสิทธิ์และการเลี่ยงผ่านการตรวจสอบสิทธิ์ ตามลำดับ ซึ่งส่งผลต่ออุปกรณ์ Connect Secure VPN ของ Ivanti ยังไม่มีแพทช์เลย
ในขณะที่ศูนย์ทั้งสองวันอยู่ภายใต้การเอารัดเอาเปรียบอย่างแข็งขันในป่า ผู้แสดงภัยคุกคามขั้นสูง (APT) ที่รัฐสนับสนุนโดยจีน (UNC5221 หรือที่รู้จักในชื่อ UTA0178) กระโดดเข้าหาจุดบกพร่องอย่างรวดเร็วหลังจากการเปิดเผยต่อสาธารณะ เพิ่มความพยายามแสวงหาผลประโยชน์จำนวนมากทั่วโลก. การวิเคราะห์การโจมตีของ Volexity พบว่ามีการดาวน์โหลด Rust 12 รายการแยกกันแต่เกือบจะเหมือนกันทั้งหมดไปยังอุปกรณ์ที่ถูกบุกรุก ซึ่งในทางกลับกันจะดาวน์โหลดและเรียกใช้เครื่องมือ Sliver red-teaming ซึ่งนักวิจัยของ Synacktiv Théo Letailleur ตั้งชื่อว่า KrustyLoader
"เศษไม้ 11 เป็นเครื่องมือจำลองศัตรูแบบโอเพ่นซอร์สที่กำลังได้รับความนิยมในหมู่ผู้คุกคาม เนื่องจากมีกรอบคำสั่งและการควบคุมที่ใช้งานได้จริง” Letailleur กล่าวในการวิเคราะห์ของเขาเมื่อวานนี้ ซึ่งยังมีแฮช กฎ Yara และ สคริปต์สำหรับการตรวจจับและการแยก ของตัวชี้วัดการประนีประนอม (IoCs) เขาตั้งข้อสังเกตว่าการปลูกถ่าย Sliver ที่ถูก rejiggered ทำหน้าที่เป็นแบ็คดอร์ที่ซ่อนเร้นและควบคุมได้ง่าย
“KrustyLoader — ตามที่ฉันเรียกมัน — ดำเนินการตรวจสอบเฉพาะเพื่อที่จะทำงานเฉพาะเมื่อตรงตามเงื่อนไขเท่านั้น” เขากล่าวเสริมโดยสังเกตว่ามันยังซับซ้อนอีกด้วย “ความจริงที่ว่า KrustyLoader ได้รับการพัฒนาใน Rust นำมาซึ่งความยากลำบากเพิ่มเติมในการรับภาพรวมที่ดีของพฤติกรรมของมัน”
ในขณะเดียวกัน แพทช์สำหรับ CVE-2024-21887 และ CVE-2023-46805 ใน Connect Secure VPN มีความล่าช้า อิวานตีให้สัญญากับพวกเขาเมื่อวันที่ 22 มกราคม โดยได้รับการแจ้งเตือนจาก CISA แต่พวกเขาก็ล้มเหลว ในการอัปเดตล่าสุดสำหรับคำแนะนำเกี่ยวกับจุดบกพร่องซึ่งเผยแพร่เมื่อวันที่ 26 มกราคม บริษัทตั้งข้อสังเกตว่า “การเปิดตัวแพทช์ตามเป้าหมายสำหรับเวอร์ชันที่รองรับมีความล่าช้า ความล่าช้านี้ส่งผลกระทบต่อการเปิดตัวแพทช์ที่วางแผนไว้ในภายหลังทั้งหมด … แพทช์สำหรับเวอร์ชันที่รองรับจะยังคงเผยแพร่ใน ตารางงานที่เซ”
Ivanti กล่าวว่ามีเป้าหมายในสัปดาห์นี้สำหรับการแก้ไข แต่ตั้งข้อสังเกตว่า "ช่วงเวลาของการเปิดตัวแพทช์อาจมีการเปลี่ยนแปลงเนื่องจากเราจัดลำดับความสำคัญด้านความปลอดภัยและคุณภาพของแต่ละรุ่น"
ณ วันนี้ เป็นเวลา 20 วันแล้วนับตั้งแต่การเปิดเผยช่องโหว่
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
- :มี
- :เป็น
- 12
- 20
- 22
- ลด 26%
- 7
- a
- คล่องแคล่ว
- นักแสดง
- การกระทำ
- ที่เพิ่ม
- เพิ่มเติม
- สูง
- ที่ปรึกษา
- น่าสงสาร
- หลังจาก
- อาคา
- เตือนภัย
- ทั้งหมด
- การอนุญาต
- แล้ว
- ด้วย
- ในหมู่
- an
- การวิเคราะห์
- และ
- เครื่องใช้
- APT
- เป็น
- AS
- การโจมตี
- ความพยายามในการ
- การยืนยันตัวตน
- ประตูหลัง
- แบ็ค
- BE
- รับ
- พฤติกรรม
- กำลัง
- ทั้งสอง
- นำ
- เป็นโรคจิต
- แต่
- ทางอ้อม
- เปลี่ยนแปลง
- การตรวจสอบ
- ชาวจีน
- รหัส
- การประนีประนอม
- ที่ถูกบุกรุก
- เงื่อนไข
- เชื่อมต่อ
- การควบคุม
- วิกฤติ
- วัน
- ความล่าช้า
- ล่าช้า
- ปรับใช้
- การตรวจพบ
- พัฒนา
- ความยากลำบาก
- การเปิดเผย
- ดาวน์โหลด
- ขนานนามว่า
- แต่ละ
- ก่อน
- อย่างง่ายดาย
- ดำเนินการ
- การปฏิบัติ
- การแสวงหาผลประโยชน์
- ความจริง
- ล้มเหลว
- บริษัท
- แก้ไข
- สำหรับ
- กรอบ
- ดึงดูด
- เกียร์
- ดี
- มี
- he
- ของเขา
- HTTPS
- i
- identiques
- if
- ผลกระทบ
- in
- ตัวชี้วัด
- IT
- ITS
- แจน
- jpg
- ล่าสุด
- มัลแวร์
- มวล
- เป็นตัวเป็นตน
- ครึ่ง
- MOUNT
- ที่มีชื่อ
- เกือบทั้งหมด
- ค่า
- เด่น
- สังเกต
- ได้รับ
- of
- เสนอ
- on
- เพียง
- โอเพนซอร์ส
- ใบสั่ง
- ภาพรวม
- คู่
- ปะ
- แพทช์
- ดำเนินการ
- การวางแผน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ความนิยม
- ประยุกต์
- จัดลำดับความสำคัญ
- สัญญา
- ให้
- สาธารณะ
- การตีพิมพ์
- คุณภาพ
- อย่างรวดเร็ว
- ปล่อย
- การเผยแพร่
- สัมพันธ์
- รีโมท
- นักวิจัย
- ตามลำดับ
- กฎ
- วิ่ง
- สนิม
- s
- กล่าวว่า
- กำหนด
- ปลอดภัย
- ความปลอดภัย
- แยก
- ชุด
- จำลอง
- ตั้งแต่
- โดยเฉพาะ
- หลบ ๆ ซ่อน ๆ
- ยังคง
- หรือ
- ภายหลัง
- ที่สนับสนุน
- เป้าหมาย
- กำหนดเป้าหมาย
- ที่
- พื้นที่
- พวกเขา
- พวกเขา
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ระยะเวลา
- ไปยัง
- ในวันนี้
- เครื่องมือ
- กลับ
- สอง
- เปิด
- ภายใต้
- บันทึก
- การใช้
- ตัวแปร
- รุ่น
- VPN
- VPNs
- ช่องโหว่
- คือ
- we
- สัปดาห์
- คือ
- ที่
- ป่า
- จะ
- เมื่อวาน
- ยัง
- ลมทะเล
- เป็นศูนย์
- ช่องโหว่แบบ zero-day