Los atacantes están utilizando un par de vulnerabilidades críticas de día cero en las VPN de Ivanti para implementar un conjunto de puertas traseras basadas en Rust, que a su vez descargan un malware de puerta trasera denominado "KrustyLoader".
Los dos errores fueron revelado a principios de enero (CVE-2024-21887 y CVE-2023-46805), lo que permite la ejecución remota de código (RCE) no autenticado y la omisión de autenticación, respectivamente, lo que afecta al equipo Connect Secure VPN de Ivanti. Ninguno tiene parches todavía.
Si bien ambos días cero ya estaban bajo explotación activa en la naturaleza, los actores de amenazas persistentes avanzadas (APT) patrocinados por el estado chino (UNC5221, también conocido como UTA0178) rápidamente detectaron los errores después de la divulgación pública. Crecientes intentos de explotación masiva en todo el mundo.. El análisis de Volexity de los ataques descubrió 12 cargas útiles de Rust separadas pero casi idénticas que se descargaban en dispositivos comprometidos, que a su vez descargan y ejecutan una variante de la herramienta de equipo Sliver red, que el investigador de Synacktiv Théo Letailleur llamó KrustyLoader.
"Sliver 11 es una herramienta de simulación de adversarios de código abierto que está ganando popularidad entre los actores de amenazas, ya que proporciona un marco práctico de comando y control”, dijo Letailleur en su análisis de ayer, que también ofrece hashes, una regla de Yara y una script para detección y extracción de indicadores de compromiso (IoC). Observó que el implante Sliver reajustado actúa como una puerta trasera sigilosa y fácilmente controlable.
"KrustyLoader, como lo llamé, realiza comprobaciones específicas para ejecutarse sólo si se cumplen las condiciones", añadió, señalando que también está bien confuso. "El hecho de que KrustyLoader haya sido desarrollado en Rust plantea dificultades adicionales para obtener una buena visión general de su comportamiento".
Mientras tanto, el parches para CVE-2024-21887 y CVE-2023-46805 En Connect Secure VPN se retrasan. Ivanti las había prometido el 22 de enero, lo que provocó una alerta de CISA, pero no se materializaron. En la última actualización de su aviso sobre los errores, publicada el 26 de enero, la empresa señaló: “El lanzamiento específico de parches para las versiones compatibles se retrasa, este retraso afecta todos los lanzamientos de parches planificados posteriores... Los parches para las versiones compatibles aún se publicarán el un horario escalonado”.
Ivanti dijo que apuntará a las correcciones esta semana, pero señaló que "el momento del lanzamiento del parche está sujeto a cambios a medida que priorizamos la seguridad y la calidad de cada lanzamiento".
A día de hoy, han pasado 20 días desde que se revelaron las vulnerabilidades.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/endpoint-security/ivanti-zero-day-patches-delayed-krustyloader-attacks-mount
