Ivanti Connect Secure (ICS) cihazlarında yakın zamanda açıklanan iki güvenlik açığı, kötü şöhretli Mirai botnet’ini dağıtmak için kullanılıyor.
Buna göre bulgular Juniper Threat Labs’tan yapılan açıklamada, CVE-2023-46805 ve CVE-2024-21887 güvenlik açıklarının botnet yükünü sağlamak için kullanıldığı belirtildi.
CVE-2023-46805 bir kimlik doğrulama atlama kusuru olsa da, CVE-2024-21887 bir komut yerleştirme güvenlik açığıdır ve böylece bir saldırganın, rastgele kod yürütmek ve duyarlı örnekleri ele geçirmek için bu ikisini bir yararlanma zinciri halinde zincirlemesine olanak tanır.
Ağ güvenliği şirketi tarafından gözlemlenen saldırı zincirinde, “/api/v1/license/key-status/;” dosyasına erişim sağlamak için CVE-2023-46805’ten yararlanılıyor. Komut enjeksiyonuna karşı savunmasız olan uç nokta ve yükü enjekte edin.
Gibi daha önce özetlenen Assetnote’un CVE-2024-21887’ye ilişkin teknik derinlemesine incelemesinde, istismarın, kötü amaçlı yazılımı dağıtmak için “/api/v1/totp/user-backup-code/” isteği aracılığıyla tetiklendiği belirtildi.
Güvenlik araştırmacısı Kashinath T Pattan, “Bu komut dizisi, dosyaları silmeye çalışır, uzak bir sunucudan bir komut dosyası indirir, yürütülebilir izinleri ayarlar ve komut dosyasını çalıştırır, bu da potansiyel olarak virüslü bir sisteme yol açar” dedi.
Kabuk betiği, Mirai botnet kötü amaçlı yazılımını aktör tarafından kontrol edilen bir IP adresinden (“192.3.152″) indirmek için tasarlanmıştır.[.]183”).
Pattan, “Bu istismarlar aracılığıyla Mirai botnet dağıtımının keşfedilmesi, sürekli gelişen siber tehdit ortamını vurguluyor” dedi. “Mirai’nin bu güvenlik açığı aracılığıyla dağıtıldığı gerçeği, aynı zamanda diğer zararlı kötü amaçlı yazılımların ve fidye yazılımlarının da yayılmasının bekleneceği anlamına gelecektir.”
Gelişme, SonicWall’ın, kripto para madencisini yüklemek için sahte bir Windows Dosya Gezgini yürütülebilir dosyasının (“explorer.exe”) bulunduğunu ortaya çıkarmasıyla ortaya çıktı. Kötü amaçlı yazılımın tam dağıtım vektörü şu anda bilinmiyor.
SonicWall, “Yürütme sonrasında, /Windows/Fonts/ dizinine, madencilik sürecini başlatmak için kötü amaçlı komutlar içeren bir toplu iş dosyası olan ana kripto madenci dosyası da dahil olmak üzere kötü amaçlı dosyalar bırakıyor.” söz konusu.