Saldırganlar, Rust tabanlı bir dizi arka kapı dağıtmak için Ivanti VPN’lerindeki bir çift kritik sıfır gün güvenlik açığını kullanıyor ve bu da “KrustyLoader” adlı bir arka kapı kötü amaçlı yazılımını indiriyor.
İki hata şunlardı: Ocak ayının başında açıklandı (CVE-2024-21887 ve CVE-2023-46805), sırasıyla kimlik doğrulamasız uzaktan kod yürütmeye (RCE) ve kimlik doğrulamayı atlamaya izin vererek Ivanti’nin Connect Secure VPN donanımını etkiler. İkisinin de henüz yamaları yok.
Her iki sıfır gün de hali hazırda aktif olarak istismar edilirken, Çin devleti destekli gelişmiş kalıcı tehdit (APT) aktörleri (UNC5221, diğer adıyla UTA0178) kamuya açıklandıktan sonra hızla hataların üzerine atladı. dünya çapında kitlesel sömürü girişimlerinin artması. Volexity’nin saldırılara ilişkin analizi, güvenliği ihlal edilmiş cihazlara indirilen 12 ayrı ancak neredeyse aynı Rust yükünü ortaya çıkardı; bu cihazlar da, Synacktiv araştırmacısı Théo Letailleur’un KrustyLoader adını verdiği Sliver kırmızı takım oluşturma aracının bir çeşidini indirip çalıştırıyor.
“Şerit 11 Letailleur, dünkü analizinde, aynı zamanda karmalar, bir Yara kuralı ve bir algılama ve çıkarma için komut dosyası uzlaşma göstergelerinin (IoC’ler). Yeniden düzenlenen Sliver implantının gizli ve kolayca kontrol edilen bir arka kapı görevi gördüğünü belirtti.
“KrustyLoader – benim adlandırdığım gibi – yalnızca koşullar karşılandığında çalışmak için belirli kontroller gerçekleştiriyor” diye ekledi ve bunun da iyi bir şekilde gizlendiğini belirtti. “KrustyLoader’ın Rust’ta geliştirilmiş olması, davranışına ilişkin iyi bir genel bakış elde etme konusunda ek zorluklar getiriyor.”
Bu arada, CVE-2024-21887 ve CVE-2023-46805 için yamalar Connect Secure VPN’lerinde gecikme yaşanıyor. Ivanti, 22 Ocak’ta CISA uyarısı yapılmasına yol açacak şekilde onlara söz vermişti, ancak bu söz gerçekleşmedi. Hatalarla ilgili tavsiye niteliğindeki 26 Ocak’ta yayınlanan son güncellemede firma şunları kaydetti: “Desteklenen sürümler için yamaların hedeflenen sürümü ertelendi, bu gecikme sonraki tüm planlı yama sürümlerini etkiliyor… Desteklenen sürümler için yamalar yine de yayınlanacak kademeli bir programla yayınlandı.”
Ivanti, düzeltmeler için bu haftayı hedeflediklerini söyledi ancak “her sürümün güvenliğine ve kalitesine öncelik verdiğimiz için yama sürümünün zamanlamasının değişebileceğini” belirtti.
Bugün itibarıyla güvenlik açıklarının açıklanmasının üzerinden 20 gün geçti.