Aanvallers gebruiken een paar kritieke zero-day-kwetsbaarheden in Ivanti VPN’s om een op Rust gebaseerde set backdoors in te zetten, die op hun beurt een backdoor-malware downloaden genaamd ‘KrustyLoader’.
De twee bugs waren eerder in januari bekendgemaakt (CVE-2024-21887 en CVE-2023-46805), waardoor respectievelijk niet-geverifieerde uitvoering van externe code (RCE) en authenticatie-bypass mogelijk zijn, wat invloed heeft op Ivanti's Connect Secure VPN-apparatuur. Geen van beide heeft nog patches.
Terwijl beide zero days al actief werden uitgebuit in het wild, sprongen Chinese staatsgesponsorde geavanceerde persistente dreigingen (APT) (UNC5221, ook bekend als UTA0178) snel op de bugs na de openbaarmaking ervan. er zijn overal ter wereld massale uitbuitingspogingen. Volexity's analyse van de aanvallen bracht twaalf afzonderlijke maar vrijwel identieke Rust-payloads aan het licht die werden gedownload naar gecompromitteerde apparaten, die op hun beurt een variant van de Sliver red-teaming-tool downloaden en uitvoeren, die Synacktiv-onderzoeker Théo Letailleur KrustyLoader noemde.
"Sliver 11 is een open-source simulatietool voor tegenstanders die aan populariteit wint onder bedreigingsactoren, omdat het een praktisch command-and-control-framework biedt”, zei Letailleur gisteren in zijn analyse, die ook hashes, een Yara-regel en een script voor detectie en extractie van indicatoren van compromissen (IoC’s). Hij merkte op dat het vernieuwde Sliver-implantaat fungeert als een sluipende en gemakkelijk te controleren achterdeur.
“KrustyLoader – zoals ik het noemde – voert specifieke controles uit om alleen te kunnen werken als aan de voorwaarden wordt voldaan,” voegde hij eraan toe, en merkte op dat het ook goed onduidelijk is. “Het feit dat KrustyLoader in Rust is ontwikkeld, brengt extra problemen met zich mee om een goed overzicht te krijgen van het gedrag ervan.”
Ondertussen de patches voor CVE-2024-21887 en CVE-2023-46805 in Connect Secure VPN's zijn vertraagd. Ivanti had ze op 22 januari beloofd, wat aanleiding gaf tot een CISA-waarschuwing, maar die kwamen niet uit. In de laatste update van zijn advies over de bugs, gepubliceerd op 26 januari, merkte het bedrijf op: “De gerichte release van patches voor ondersteunde versies is uitgesteld, deze vertraging heeft gevolgen voor alle volgende geplande patchreleases … Patches voor ondersteunde versies zullen nog steeds worden uitgebracht op een gespreid schema.”
Ivanti zei dat het zich deze week richt op de oplossingen, maar merkte op dat “de timing van de patch-release onderhevig is aan verandering omdat we prioriteit geven aan de veiligheid en kwaliteit van elke release.”
Vandaag is het twintig dagen geleden dat de kwetsbaarheden openbaar werden gemaakt.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
