Търсене
Close this search box.

Нападателите използват двойка критични уязвимости от нулев ден във VPN мрежите на Ivanti, за да разположат набор от задни врати, базирани на Rust, които на свой ред изтеглят злонамерен софтуер, наречен „KrustyLoader“.

Двете грешки бяха разкрити по-рано през януари (CVE-2024-21887 и CVE-2023-46805), като позволяват неавтентично изпълнение на отдалечен код (RCE) и заобикаляне на удостоверяването, съответно засягащи Connect Secure VPN съоръженията на Ivanti. Все още няма кръпки за нито една от тях.

Макар че и двата нулеви дни вече бяха в процес на активна експлоатация в дивата природа, спонсорирани от китайската държава участници в програми за напреднали постоянни заплахи (APT) (UNC5221, известен още като UTA0178) бързо се възползваха от бъговете след публичното им разкриване, организирайки масови опити за експлоатация в световен мащаб. Анализът на атаките, извършен от Volexity, разкри 12 отделни, но почти идентични полезни товара на Rust, които се изтеглят на компрометирани устройства, които на свой ред изтеглят и изпълняват вариант на инструмента за червен трафик Sliver, който изследователят от Synacktiv Théo Letailleur нарече KrustyLoader.

„Sliver 11 е инструмент с отворен код за симулиране на противник, който набира популярност сред много заплахи, тъй като предоставя практическа рамка за командване и управление“, заяви Letailleur в своя анализ вчера, който предлага също хешове, правило Yara и скрипт за откриване и извличане на индикатори за компрометиране (IoC). Той отбеляза, че пренастроеният имплант Sliver действа като скрита и лесно контролируема задна врата.

„KrustyLoader – както го нарекох – извършва специфични проверки, за да се стартира само ако са изпълнени условията“, добави той, като отбеляза, че той също така е добре обфускулиран. „Фактът, че KrustyLoader е разработен на езика Rust, носи допълнителни трудности за получаване на добра представа за поведението му.“

Междувременно кръпките за CVE-2024-21887 и CVE-2023-46805 в Connect Secure VPNs са забавени. Ivanti ги беше обещала на 22 януари, което предизвика предупреждението на CISA, но те не бяха реализирани. В последната актуализация на своята консултация за бъговете, публикувана на 26 януари, фирмата отбеляза: „Целевото пускане на пачове за поддържаните версии е забавено, това забавяне се отразява на всички последващи планирани пускания на пачове … Пачовете за поддържаните версии все още ще бъдат пускани по разсрочен график.“

От Ivanti заявиха, че планират поправките да бъдат пуснати през тази седмица, но отбелязаха, че „времето за пускане на кръпките може да се промени, тъй като приоритизираме сигурността и качеството на всяка версия“.

Към днешна дата са изминали 20 дни от разкриването на уязвимостите.

 

Източник: DARKReading

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
11/12/2024

Atlassian и Splunk кърпят ...

Във вторник Atlassian и Splunk обявиха...
11/12/2024

SAP обяви пускането на 13 ...

Производителят на корпоративен софтуер SAP обяви...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!