Търсене
Close this search box.

Пачовете за нулеви дни на Ivanti се отлагат, тъй като атаките „KrustyLoader“ се увеличават

Нападателите използват двойка критични уязвимости от нулев ден във VPN мрежите на Ivanti, за да разположат набор от задни врати, базирани на Rust, които на свой ред изтеглят злонамерен софтуер, наречен „KrustyLoader“.

Двете грешки бяха разкрити по-рано през януари (CVE-2024-21887 и CVE-2023-46805), като позволяват неавтентично изпълнение на отдалечен код (RCE) и заобикаляне на удостоверяването, съответно засягащи Connect Secure VPN съоръженията на Ivanti. Все още няма кръпки за нито една от тях.

Макар че и двата нулеви дни вече бяха в процес на активна експлоатация в дивата природа, спонсорирани от китайската държава участници в програми за напреднали постоянни заплахи (APT) (UNC5221, известен още като UTA0178) бързо се възползваха от бъговете след публичното им разкриване, организирайки масови опити за експлоатация в световен мащаб. Анализът на атаките, извършен от Volexity, разкри 12 отделни, но почти идентични полезни товара на Rust, които се изтеглят на компрометирани устройства, които на свой ред изтеглят и изпълняват вариант на инструмента за червен трафик Sliver, който изследователят от Synacktiv Théo Letailleur нарече KrustyLoader.

„Sliver 11 е инструмент с отворен код за симулиране на противник, който набира популярност сред много заплахи, тъй като предоставя практическа рамка за командване и управление“, заяви Letailleur в своя анализ вчера, който предлага също хешове, правило Yara и скрипт за откриване и извличане на индикатори за компрометиране (IoC). Той отбеляза, че пренастроеният имплант Sliver действа като скрита и лесно контролируема задна врата.

„KrustyLoader – както го нарекох – извършва специфични проверки, за да се стартира само ако са изпълнени условията“, добави той, като отбеляза, че той също така е добре обфускулиран. „Фактът, че KrustyLoader е разработен на езика Rust, носи допълнителни трудности за получаване на добра представа за поведението му.“

Междувременно кръпките за CVE-2024-21887 и CVE-2023-46805 в Connect Secure VPNs са забавени. Ivanti ги беше обещала на 22 януари, което предизвика предупреждението на CISA, но те не бяха реализирани. В последната актуализация на своята консултация за бъговете, публикувана на 26 януари, фирмата отбеляза: „Целевото пускане на пачове за поддържаните версии е забавено, това забавяне се отразява на всички последващи планирани пускания на пачове … Пачовете за поддържаните версии все още ще бъдат пускани по разсрочен график.“

От Ivanti заявиха, че планират поправките да бъдат пуснати през тази седмица, но отбелязаха, че „времето за пускане на кръпките може да се промени, тъй като приоритизираме сигурността и качеството на всяка версия“.

Към днешна дата са изминали 20 дни от разкриването на уязвимостите.

 

Източник: DARKReading

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!