'KrustyLoader'ın Mount'a Saldırısı Nedeniyle Ivanti Zero-Day Yamaları Gecikti

Saldırganlar, Rust tabanlı bir dizi arka kapı dağıtmak için Ivanti VPN'lerindeki bir çift kritik sıfır gün güvenlik açığını kullanıyor ve bu da "KrustyLoader" adlı bir arka kapı kötü amaçlı yazılımını indiriyor.

İki hata şunlardı: Ocak ayının başında açıklandı (CVE-2024-21887 ve CVE-2023-46805), kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) ve kimlik doğrulamanın atlanmasına izin vererek Ivanti'nin Connect Secure VPN donanımını etkiler. İkisinin de henüz yamaları yok.

Her iki sıfır gün de hali hazırda aktif olarak istismar edilirken, Çin devleti destekli gelişmiş kalıcı tehdit (APT) aktörleri (UNC5221, diğer adıyla UTA0178) kamuya açıklandıktan sonra hızla hataların üzerine atladı. dünya çapında kitlesel sömürü girişimlerinin artması. Volexity'nin saldırılara ilişkin analizi, güvenliği ihlal edilmiş cihazlara indirilen 12 ayrı ancak neredeyse aynı Rust yükünü ortaya çıkardı; bu cihazlar da, Synacktiv araştırmacısı Théo Letailleur'un KrustyLoader adını verdiği Sliver kırmızı takım oluşturma aracının bir çeşidini indirip çalıştırıyor.

"şerit 11 Letailleur dün yaptığı analizde, aynı zamanda karmalar, bir Yara kuralı ve algılama ve çıkarma için komut dosyası uzlaşma göstergelerinin (IoC'ler). Yeniden düzenlenen Sliver implantının gizli ve kolayca kontrol edilen bir arka kapı görevi gördüğünü belirtti.

"KrustyLoader - benim adlandırdığım gibi - yalnızca koşullar karşılandığında çalışmak için belirli kontroller gerçekleştiriyor" diye ekledi ve bunun da iyi bir şekilde gizlendiğini belirtti. "KrustyLoader'ın Rust'ta geliştirilmiş olması, davranışına ilişkin iyi bir genel bakış elde etme konusunda ek zorluklar getiriyor."

Bu arada, CVE-2024-21887 ve CVE-2023-46805 için yamalar Connect Secure VPN'lerinde gecikme yaşanıyor. Ivanti, 22 Ocak'ta CISA uyarısı yapılmasına yol açacak şekilde onlara söz vermişti, ancak bu söz gerçekleşmedi. Hatalarla ilgili tavsiye niteliğindeki 26 Ocak'ta yayınlanan son güncellemede firma şunları kaydetti: "Desteklenen sürümler için hedeflenen yama sürümü ertelendi, bu gecikme sonraki tüm planlı yama sürümlerini etkiliyor... Desteklenen sürümler için yamalar şu tarihte yayınlanmaya devam edecek: Kademeli bir program.”

Ivanti, düzeltmeler için bu haftayı hedeflediklerini söyledi ancak "her sürümün güvenliğine ve kalitesine öncelik verdiğimiz için yama sürümünün zamanlamasının değişebileceğini" belirtti.

Bugün itibarıyla güvenlik açıklarının açıklanmasının üzerinden 20 gün geçti.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount