공격자들은 Ivanti VPN의 한 쌍의 심각한 제로데이 취약점을 이용해 Rust 기반 백도어 세트를 배포하고 있으며, 그 결과 "KrustyLoader"라는 백도어 악성코드가 다운로드됩니다.
두 가지 버그는 다음과 같습니다. 지난 1월 초 공개 (CVE-2024-21887 및 CVE-2023-46805), 각각 인증되지 않은 원격 코드 실행(RCE) 및 인증 우회를 허용하여 Ivanti의 Connect Secure VPN 장비에 영향을 미칩니다. 둘 다 아직 패치가 없습니다.
두 제로데이 모두 이미 활발하게 악용되고 있었지만, 중국 정부가 후원하는 지능형 지속 위협(APT) 행위자(UNC5221, 일명 UTA0178)는 공개된 후 빠르게 버그를 공격했습니다. 전 세계적으로 대량 착취 시도 증가. Volexity의 공격 분석 결과, 손상된 어플라이언스에 다운로드되는 12개의 개별적이지만 거의 동일한 Rust 페이로드가 발견되었으며, 이는 Synacktiv 연구원 Théo Letailleur가 KrustyLoader라고 명명한 Sliver 레드팀 구성 도구의 변종을 다운로드하여 실행했습니다.
"은색 11 Letailleur는 어제 분석에서 해시, Yara 규칙 및 탐지 및 추출을 위한 스크립트 IoC(침해 지표). 그는 재조정된 Sliver 임플란트가 은밀하고 쉽게 제어할 수 있는 백도어 역할을 한다고 지적했습니다.
“내가 이름 붙인 KrustyLoader는 조건이 충족되는 경우에만 실행되도록 특정 검사를 수행합니다.”라고 그는 덧붙였습니다. 또한 잘 난독화되어 있다는 점을 지적했습니다. "KrustyLoader가 Rust에서 개발되었다는 사실은 그 동작에 대한 좋은 개요를 얻는 데 추가적인 어려움을 가져옵니다."
한편, CVE-2024-21887 및 CVE-2023-46805용 패치 Connect Secure VPN에서는 지연됩니다. Ivanti는 22월 26일에 이를 약속했고 CISA에 경고를 보냈지만 실현되지 않았습니다. XNUMX월 XNUMX일 발표된 버그에 대한 최신 업데이트에서 회사는 "지원되는 버전에 대한 패치의 목표 릴리스가 지연되었습니다. 이 지연은 모든 후속 패치 릴리스에 영향을 미칩니다. 지원되는 버전에 대한 패치는 계속해서 릴리스될 것입니다. 엇갈린 일정”
Ivanti는 이번 주에 수정 사항을 적용하는 것을 목표로 하고 있지만 "각 릴리스의 보안과 품질을 우선시하므로 패치 릴리스 시기는 변경될 수 있습니다"라고 말했습니다.
오늘 기준으로 취약점이 공개된 지 20일이 지났습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
