Зловмисники використовують пару критичних уразливостей нульового дня в VPN Ivanti, щоб розгорнути набір бекдорів на основі Rust, які, у свою чергу, завантажують бекдорне шкідливе програмне забезпечення під назвою «KrustyLoader».
Дві помилки були розкрито раніше в січні (CVE-2024-21887 і CVE-2023-46805), що дозволяє неавтентифіковане віддалене виконання коду (RCE) і обхід автентифікації відповідно, що впливає на обладнання Connect Secure VPN від Ivanti. Жоден ще не має патчів.
Хоча обидва нульові дні вже активно використовувалися в дикій природі, спонсоровані державою китайські суб’єкти вдосконаленої стійкої загрози (APT) (UNC5221, також UTA0178) швидко взялись за помилки після публічного оприлюднення, посилення спроб масової експлуатації по всьому світу. Аналіз атак, проведений Volexity, виявив 12 окремих, але майже ідентичних корисних навантажень Rust, які завантажуються на скомпрометовані пристрої, які, у свою чергу, завантажують і виконують варіант інструменту Sliver red-teaming, який дослідник Synacktiv Тео Лейлер назвав KrustyLoader.
"Щепка 11 — це інструмент симуляції противника з відкритим вихідним кодом, який набуває популярності серед учасників загрози, оскільки він забезпечує практичну структуру командування та управління», — сказав Летайлер у своєму вчорашньому аналізі, який також пропонує хеші, правило Yara та сценарій для виявлення та вилучення індикаторів компромісу (IoC). Він зазначив, що перероблений імплантат Sliver діє як прихований і легко керований бекдор.
«KrustyLoader — як я його назвав — виконує певні перевірки, щоб запускатися лише за умови дотримання умов», — додав він, зазначивши, що він також добре замаскований. «Той факт, що KrustyLoader було розроблено в Rust, створює додаткові труднощі для отримання хорошого огляду його поведінки».
Тим часом, патчі для CVE-2024-21887 і CVE-2023-46805 у Connect Secure VPN затримуються. Ivanti пообіцяв їм 22 січня, що викликало тривогу CISA, але вони не здійснилися. В останньому оновленні рекомендацій щодо помилок, опублікованому 26 січня, фірма зазначила: «Цільовий випуск виправлень для підтримуваних версій відкладено, ця затримка вплине на всі наступні заплановані випуски виправлень… Виправлення для підтримуваних версій все одно будуть випущені на ступінчастий графік».
Ivanti сказав, що націлений на цей тиждень для виправлень, але зазначив, що «терміни випуску патча можуть бути змінені, оскільки ми надаємо пріоритет безпеці та якості кожного випуску».
Станом на сьогодні минуло 20 днів з моменту виявлення вразливості.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
- : має
- :є
- 12
- 20
- 22
- 26%
- 7
- a
- активний
- актори
- акти
- доданий
- Додатковий
- просунутий
- консультативний
- зачіпає
- після
- ака
- Оповіщення
- ВСІ
- Дозволити
- вже
- Також
- серед
- an
- аналіз
- та
- техніка
- APT
- ЕСТЬ
- AS
- нападки
- Спроби
- Authentication
- закулісний
- бекдори
- BE
- було
- поведінка
- буття
- обидва
- Приносить
- помилки
- але
- обходити
- зміна
- Перевірки
- китайський
- код
- компроміс
- Компрометація
- Умови
- З'єднуватися
- контроль
- критичний
- Днів
- затримка
- Затримується
- розгортання
- Виявлення
- розвиненою
- утруднення
- розкриття
- скачати
- охрестили
- кожен
- Раніше
- легко
- виконувати
- виконання
- експлуатація
- факт
- не вдалося
- Фірма
- фіксований
- для
- Рамки
- набирає
- Передача
- добре
- було
- he
- його
- HTTPS
- i
- однаковий
- if
- Вплив
- in
- індикатори
- IT
- ЙОГО
- січень
- JPG
- останній
- шкідливих програм
- Маса
- матеріалізуватися
- зустрів
- МОНТАЖ
- Названий
- майже
- ні
- зазначив,
- відзначивши,
- отримувати
- of
- Пропозиції
- on
- тільки
- з відкритим вихідним кодом
- порядок
- огляд
- пара
- пластир
- Патчі
- виступає
- запланований
- plato
- Інформація про дані Платона
- PlatoData
- популярність
- Практичний
- Пріоритетність
- пообіцяв
- забезпечує
- громадськість
- опублікований
- якість
- швидко
- звільнити
- випущений
- Релізи
- віддалений
- дослідник
- відповідно
- Правило
- прогін
- Іржа
- s
- Зазначений
- розклад
- безпечний
- безпеку
- окремий
- комплект
- моделювання
- з
- конкретний
- крадькома
- Як і раніше
- тема
- наступні
- Підтриманий
- цільове
- націлювання
- Що
- Команда
- Їх
- вони
- це
- На цьому тижні
- загроза
- актори загроз
- синхронізація
- до
- сьогодні
- інструмент
- ПЕРЕГЛЯД
- два
- непокритий
- при
- Оновити
- використання
- варіант
- версії
- VPN
- VPN
- Уразливості
- було
- we
- week
- були
- який
- Wild
- волі
- вчора
- ще
- зефірнет
- нуль
- уразливості нульового дня