Ivanti Zero-Day Patches 'KrustyLoader' اٹیک ماؤنٹ کے طور پر تاخیر کا شکار

حملہ آور Ivanti VPNs میں زنگ پر مبنی بیک ڈور سیٹ کو تعینات کرنے کے لیے صفر دن کی اہم کمزوریوں کا ایک جوڑا استعمال کر رہے ہیں، جس کے نتیجے میں "کرسٹی لوڈر" کے نام سے ایک بیک ڈور میلویئر ڈاؤن لوڈ ہو جاتا ہے۔

دو کیڑے تھے۔ جنوری میں پہلے انکشاف کیا (CVE-2024-21887 اور CVE-2023-46805)، بالترتیب Ivanti کے Connect Secure VPN گیئر کو متاثر کرتے ہوئے، غیر تصدیق شدہ ریموٹ کوڈ پر عمل درآمد (RCE) اور تصدیقی بائی پاس کی اجازت دیتا ہے۔ نہ ہی ابھی تک پیچ ہیں۔

جب کہ دونوں صفر دن پہلے ہی جنگل میں سرگرم استحصال کے تحت تھے، چینی ریاست کے زیر اہتمام ایڈوانس پرسسٹنٹ تھریٹ (APT) ایکٹرز (UNC5221، عرف UTA0178) نے عوامی انکشاف کے بعد تیزی سے کیڑے نکال لیے، دنیا بھر میں بڑے پیمانے پر استحصال کی کوششیں. حملوں کے بارے میں وولیکسٹی کے تجزیے سے 12 الگ الگ لیکن تقریباً ایک جیسے رسٹ پے لوڈز کا انکشاف ہوا جو سمجھوتہ کرنے والے آلات پر ڈاؤن لوڈ کیے جا رہے ہیں، جو بدلے میں سلیور ریڈ ٹیمنگ ٹول کی ایک قسم کو ڈاؤن لوڈ اور اس پر عمل درآمد کرتے ہیں، جسے Synacktiv کے محقق تھیو لیٹیلیور نے KrustyLoader کا نام دیا ہے۔

"سلیور ایکس این ایم ایکس۔ یہ ایک اوپن سورس مخالف نقلی ٹول ہے جو دھمکی دینے والے اداکاروں میں مقبولیت حاصل کر رہا ہے، کیونکہ یہ ایک عملی کمانڈ اینڈ کنٹرول فریم ورک فراہم کرتا ہے،" Letailleur نے کل اپنے تجزیے میں کہا، جس میں ہیش، یارا قاعدہ، اور پتہ لگانے اور نکالنے کے لیے اسکرپٹ سمجھوتہ کے اشارے (IoCs)۔ اس نے نوٹ کیا کہ ریجیگرڈ سلور امپلانٹ ایک چپکے سے اور آسانی سے کنٹرول شدہ بیک ڈور کے طور پر کام کرتا ہے۔

"کرسٹی لوڈر - جیسا کہ میں نے اسے ڈب کیا ہے - صرف اس صورت میں چلانے کے لیے مخصوص جانچ پڑتال کرتا ہے جب شرائط پوری ہوں،" انہوں نے مزید کہا، یہ نوٹ کرتے ہوئے کہ یہ بھی اچھی طرح سے مبہم ہے۔ "حقیقت یہ ہے کہ کرسٹی لوڈر کو زنگ میں تیار کیا گیا تھا اس کے رویے کا ایک اچھا جائزہ حاصل کرنے میں اضافی مشکلات لاتا ہے۔"

اس دوران، CVE-2024-21887 اور CVE-2023-46805 کے لیے پیچ کنیکٹ سیکیور وی پی این میں تاخیر ہو رہی ہے۔ Ivanti نے 22 جنوری کو ان سے وعدہ کیا تھا، جس سے CISA الرٹ ہوا، لیکن وہ پورا کرنے میں ناکام رہے۔ 26 جنوری کو شائع ہونے والی بگس پر اپنی ایڈوائزری کی تازہ ترین تازہ کاری میں، فرم نے نوٹ کیا، "معاون ورژنز کے لیے پیچ کی ٹارگٹڈ ریلیز میں تاخیر ہوئی ہے، یہ تاخیر بعد کے تمام منصوبہ بند پیچ ​​ریلیز پر اثر انداز ہوتی ہے… معاون ورژنز کے لیے پیچ ابھی بھی جاری کیے جائیں گے۔ ایک حیران کن شیڈول۔"

Ivanti نے کہا کہ وہ اس ہفتے کو درست کرنے کے لیے ہدف بنا رہا ہے، لیکن نوٹ کیا کہ "پیچ کی رہائی کا وقت تبدیل کیا جا سکتا ہے کیونکہ ہم ہر ریلیز کی حفاظت اور معیار کو ترجیح دیتے ہیں۔"

آج تک، کمزوریوں کے انکشاف کو 20 دن ہو چکے ہیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount