Патчі Ivanti Zero-Day відкладені через монтування атак «KrustyLoader».

Зловмисники використовують пару критичних уразливостей нульового дня в VPN Ivanti, щоб розгорнути набір бекдорів на основі Rust, які, у свою чергу, завантажують бекдорне шкідливе програмне забезпечення під назвою «KrustyLoader».

Дві помилки були розкрито раніше в січні (CVE-2024-21887 і CVE-2023-46805), що дозволяє неавтентифіковане віддалене виконання коду (RCE) і обхід автентифікації відповідно, що впливає на обладнання Connect Secure VPN від Ivanti. Жоден ще не має патчів.

Хоча обидва нульові дні вже активно використовувалися в дикій природі, спонсоровані державою китайські суб’єкти вдосконаленої стійкої загрози (APT) (UNC5221, також UTA0178) швидко взялись за помилки після публічного оприлюднення, посилення спроб масової експлуатації по всьому світу. Аналіз атак, проведений Volexity, виявив 12 окремих, але майже ідентичних корисних навантажень Rust, які завантажуються на скомпрометовані пристрої, які, у свою чергу, завантажують і виконують варіант інструменту Sliver red-teaming, який дослідник Synacktiv Тео Лейлер назвав KrustyLoader.

"Щепка 11 — це інструмент симуляції противника з відкритим вихідним кодом, який набуває популярності серед учасників загрози, оскільки він забезпечує практичну структуру командування та управління», — сказав Летайлер у своєму вчорашньому аналізі, який також пропонує хеші, правило Yara та сценарій для виявлення та вилучення індикаторів компромісу (IoC). Він зазначив, що перероблений імплантат Sliver діє як прихований і легко керований бекдор.

«KrustyLoader — як я його назвав — виконує певні перевірки, щоб запускатися лише за умови дотримання умов», — додав він, зазначивши, що він також добре замаскований. «Той факт, що KrustyLoader було розроблено в Rust, створює додаткові труднощі для отримання хорошого огляду його поведінки».

Тим часом, патчі для CVE-2024-21887 і CVE-2023-46805 у Connect Secure VPN затримуються. Ivanti пообіцяв їм 22 січня, що викликало тривогу CISA, але вони не здійснилися. В останньому оновленні рекомендацій щодо помилок, опублікованому 26 січня, фірма зазначила: «Цільовий випуск виправлень для підтримуваних версій відкладено, ця затримка вплине на всі наступні заплановані випуски виправлень… Виправлення для підтримуваних версій все одно будуть випущені на ступінчастий графік».

Ivanti сказав, що націлений на цей тиждень для виправлень, але зазначив, що «терміни випуску патча можуть бути змінені, оскільки ми надаємо пріоритет безпеці та якості кожного випуску».

Станом на сьогодні минуло 20 днів з моменту виявлення вразливості.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount