Les attaquants utilisent deux vulnérabilités critiques Zero Day dans les VPN Ivanti pour déployer un ensemble de portes dérobées basées sur Rust, qui à leur tour téléchargent un malware de porte dérobée baptisé « KrustyLoader ».
Les deux bugs étaient divulgué plus tôt en janvier (CVE-2024-21887 et CVE-2023-46805), permettant respectivement l'exécution de code à distance (RCE) non authentifié et le contournement de l'authentification, affectant l'équipement Connect Secure VPN d'Ivanti. Ni l’un ni l’autre n’a encore de correctifs.
Alors que les deux jours zéro étaient déjà activement exploités dans la nature, les acteurs des menaces persistantes avancées (APT) parrainées par l'État chinois (UNC5221, alias UTA0178) se sont rapidement attaqués aux bogues après leur divulgation publique, tentatives croissantes d’exploitation de masse dans le monde entier. L'analyse des attaques par Volexity a révélé 12 charges utiles Rust distinctes mais presque identiques téléchargées sur des appareils compromis, qui à leur tour téléchargent et exécutent une variante de l'outil d'équipe rouge Sliver, que le chercheur de Synacktiv, Théo Letailleur, a nommé KrustyLoader.
"Sliver 11 est un outil open source de simulation d'adversaires qui gagne en popularité parmi les acteurs de la menace, car il fournit un cadre de commandement et de contrôle pratique », a déclaré Letailleur dans son analyse hier, qui propose également des hachages, une règle Yara et un script de détection et d'extraction d’indicateurs de compromission (IoC). Il a noté que l’implant Sliver réorganisé agit comme une porte dérobée furtive et facilement contrôlable.
« KrustyLoader – comme je l'ai surnommé – effectue des vérifications spécifiques afin de ne fonctionner que si les conditions sont remplies », a-t-il ajouté, notant qu'il est également bien obscurci. "Le fait que KrustyLoader ait été développé dans Rust apporte des difficultés supplémentaires pour avoir une bonne vue d'ensemble de son comportement."
Pendant ce temps, le correctifs pour CVE-2024-21887 et CVE-2023-46805 dans Connect Secure, les VPN sont retardés. Ivanti les avait promis le 22 janvier, déclenchant une alerte CISA, mais ils ne se sont pas concrétisés. Dans la dernière mise à jour de son avis sur les bogues, publiée le 26 janvier, la société a noté : « La publication ciblée des correctifs pour les versions prises en charge est retardée, ce retard affecte toutes les versions de correctifs planifiées ultérieurement… Les correctifs pour les versions prises en charge seront toujours publiés le un calendrier décalé.
Ivanti a déclaré qu'il visait cette semaine pour les correctifs, mais a noté que « le calendrier de publication des correctifs est susceptible de changer car nous accordons la priorité à la sécurité et à la qualité de chaque version ».
À ce jour, 20 jours se sont écoulés depuis la divulgation des vulnérabilités.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
