Các bản vá Zero-Day của Ivanti bị trì hoãn khi các cuộc tấn công của 'KrustyLoader' gia tăng

Những kẻ tấn công đang sử dụng một cặp lỗ hổng zero-day nghiêm trọng trong Ivanti VPN để triển khai một bộ cửa hậu dựa trên Rust, từ đó tải xuống phần mềm độc hại cửa sau có tên là “KrustyLoader”.

Hai lỗi đó là được tiết lộ trước đó vào tháng 1 (CVE-2024-21887 và CVE-2023-46805), cho phép thực thi mã từ xa không được xác thực (RCE) và bỏ qua xác thực, tương ứng, ảnh hưởng đến thiết bị Connect Secure VPN của Ivanti. Chưa có bản vá lỗi nào cả.

Trong khi cả hai ngày 5221 đều đang bị khai thác tích cực ngoài tự nhiên, những kẻ tấn công APT (APT) do nhà nước Trung Quốc tài trợ (UNC0178, hay còn gọi là UTAXNUMX) đã nhanh chóng phát hiện ra các lỗi sau khi được tiết lộ công khai, gia tăng các nỗ lực khai thác hàng loạt trên toàn thế giới. Phân tích của Volexity về các cuộc tấn công đã phát hiện ra 12 tải trọng Rust riêng biệt nhưng gần như giống hệt nhau đang được tải xuống các thiết bị bị xâm nhập, sau đó tải xuống và thực thi một biến thể của công cụ nhóm đỏ Sliver mà nhà nghiên cứu Synacktiv Théo Letailleur đặt tên là KrustyLoader.

"cúi 11 là một công cụ mô phỏng đối thủ nguồn mở đang ngày càng trở nên phổ biến đối với các tác nhân đe dọa, vì nó cung cấp một khuôn khổ ra lệnh và kiểm soát thực tế,” Letailleur cho biết trong bài phân tích ngày hôm qua, công cụ này cũng cung cấp hàm băm, quy tắc Yara và một kịch bản để phát hiện và trích xuất về các chỉ số thỏa hiệp (IoC). Ông lưu ý rằng bộ cấy Sliver được kích hoạt lại hoạt động như một cửa sau lén lút và dễ dàng kiểm soát.

“KrustyLoader - như tôi đã đặt tên cho nó - thực hiện các kiểm tra cụ thể để chỉ chạy nếu các điều kiện được đáp ứng,” anh ấy nói thêm, đồng thời lưu ý rằng nó cũng rất khó hiểu. “Việc KrustyLoader được phát triển trong Rust mang lại thêm khó khăn để có được cái nhìn tổng quan về hành vi của nó.”

Trong khi đó, bản vá cho CVE-2024-21887 và CVE-2023-46805 trong Connect Secure VPN bị trì hoãn. Ivanti đã hứa với họ vào ngày 22 tháng 26, khiến CISA đưa ra cảnh báo, nhưng điều đó đã không thành hiện thực. Trong bản cập nhật mới nhất về tư vấn về lỗi, được xuất bản vào ngày XNUMX tháng XNUMX, công ty lưu ý: “Việc phát hành các bản vá có mục tiêu cho các phiên bản được hỗ trợ bị trì hoãn, sự chậm trễ này ảnh hưởng đến tất cả các bản phát hành bản vá theo kế hoạch tiếp theo… Các bản vá cho các phiên bản được hỗ trợ vẫn sẽ được phát hành vào một lịch trình so le.”

Ivanti cho biết họ đang nhắm mục tiêu tung ra các bản sửa lỗi trong tuần này, nhưng lưu ý rằng “thời gian phát hành bản vá có thể thay đổi vì chúng tôi ưu tiên tính bảo mật và chất lượng của mỗi bản phát hành”.

Tính đến hôm nay, đã 20 ngày kể từ khi lỗ hổng được tiết lộ.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount