Нападателите използват двойка критични уязвимости от нулев ден във VPN мрежите на Ivanti, за да разположат набор от задни врати, базирани на Rust, които на свой ред изтеглят злонамерен софтуер, наречен „KrustyLoader“.
Двете грешки бяха разкрити по-рано през януари (CVE-2024-21887 и CVE-2023-46805), като позволяват неавтентично изпълнение на отдалечен код (RCE) и заобикаляне на удостоверяването, съответно засягащи Connect Secure VPN съоръженията на Ivanti. Все още няма кръпки за нито една от тях.
Макар че и двата нулеви дни вече бяха в процес на активна експлоатация в дивата природа, спонсорирани от китайската държава участници в програми за напреднали постоянни заплахи (APT) (UNC5221, известен още като UTA0178) бързо се възползваха от бъговете след публичното им разкриване, организирайки масови опити за експлоатация в световен мащаб. Анализът на атаките, извършен от Volexity, разкри 12 отделни, но почти идентични полезни товара на Rust, които се изтеглят на компрометирани устройства, които на свой ред изтеглят и изпълняват вариант на инструмента за червен трафик Sliver, който изследователят от Synacktiv Théo Letailleur нарече KrustyLoader.
„Sliver 11 е инструмент с отворен код за симулиране на противник, който набира популярност сред много заплахи, тъй като предоставя практическа рамка за командване и управление“, заяви Letailleur в своя анализ вчера, който предлага също хешове, правило Yara и скрипт за откриване и извличане на индикатори за компрометиране (IoC). Той отбеляза, че пренастроеният имплант Sliver действа като скрита и лесно контролируема задна врата.
„KrustyLoader – както го нарекох – извършва специфични проверки, за да се стартира само ако са изпълнени условията“, добави той, като отбеляза, че той също така е добре обфускулиран. „Фактът, че KrustyLoader е разработен на езика Rust, носи допълнителни трудности за получаване на добра представа за поведението му.“
Междувременно кръпките за CVE-2024-21887 и CVE-2023-46805 в Connect Secure VPNs са забавени. Ivanti ги беше обещала на 22 януари, което предизвика предупреждението на CISA, но те не бяха реализирани. В последната актуализация на своята консултация за бъговете, публикувана на 26 януари, фирмата отбеляза: „Целевото пускане на пачове за поддържаните версии е забавено, това забавяне се отразява на всички последващи планирани пускания на пачове … Пачовете за поддържаните версии все още ще бъдат пускани по разсрочен график.“
От Ivanti заявиха, че планират поправките да бъдат пуснати през тази седмица, но отбелязаха, че „времето за пускане на кръпките може да се промени, тъй като приоритизираме сигурността и качеството на всяка версия“.
Към днешна дата са изминали 20 дни от разкриването на уязвимостите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.