KrustyLoader恶意软件利用Ivanti VPN缺陷进行传播CVE-2024-21887、CVE-2023-46805
黑客利用Ivanti VPN中的零日漏洞部署恶意软件和加密货币挖矿程序,目标包括财富500强公司、政府机构和国防承包商。
随着黑客试图利用Ivanti VPN设备中的零日漏洞来部署恶意软件和加密货币挖矿程序,网络安全问题日益严重。这些漏洞分别为CVE-2023-46805和CVE-2024-21887,是在Ivanti Connect Secure(ICS)和Ivanti Policy Secure Gateway设备中发现的,允许攻击者在目标主机上远程执行任意命令,以加载名为KrustyLoader。
“Ivanti Connect Secure(ICS)(以前称为Pulse Connect Secure和Ivanti Policy Secure网关)中发现了漏洞。这些漏洞影响所有受支持的版本——版本9.x和22.x。”Ivanti在最近的一份通报中证实。
CVE-2023-46805是一个身份验证绕过缺陷,CVSS评分为8.2。它允许远程攻击者绕过Ivanti ICS 9.x、22.x和Ivanti Policy Secure的Web组件中的控制检查。
CVE-2024-21887,是一个命令注入漏洞,CVSS评分为9.1。它在Ivanti Connect Secure(9.x、22.x)和Ivanti Policy Secure Web组件中被发现,允许经过身份验证的管理员通过发送精心设计的请求和执行任意命令来利用Ivanti设备。
目标包括全球小型到大型企业,包括财富500强公司、政府部门、电信、国防承包商、技术公司、银行、金融、会计机构、咨询服务和航空航天实体。
这些问题首先由Volexity报告,据其称,这些漏洞早在2023年12月3日就已被作为零日漏洞利用。他们确定了一个名为UTA0178(Mandiant追踪为UNC5221)的APT组织对此次利用负责。Volexity在发现攻击者在多个内部和面向外部的Web服务器上执行Webshell后收到警报。
该公司发起了一项调查,并于2023年12月使用GIFTEDVISITOR Webshell发现了2100多台受感染的Ivanti Connect Secure VPN设备。2024年1月的一次新扫描发现了另外368台受感染的设备。
研究人员检查了受损的Connect Secure VPN设备,发现UTA0178对内置完整性检查工具进行了修改,导致该工具报告没有新文件或不匹配的文件。
Synacktiv研究员Théo Letailleur进行了广泛的调查,发现威胁行为者正在利用Ivanti零日漏洞安装XMRig加密货币挖矿程序,并从远程服务器执行基于Golang的Sliver后门。
KrustyLoader充当加载程序,在受感染的主机上下载/执行Sliver。由于它基于Rust语言,因此完全理解恶意软件的行为具有挑战性。
Bishop Fox的Sliver是一个后利用工具包,专为网络犯罪分子设计,以保持对受感染系统的控制。2023年,执法部门试图关闭Cobalt Strike的“破解”版本后,它在网络犯罪分子中广受欢迎。
该后门提供广泛的功能,包括网络间谍、命令执行、加载反射DLL和生成会话。Synacktiv报告称,所有样本都从不同的URL下载Sliver,并使用HTTP/HTTPS通信与C2建立连接。
Ivanti的通报表明,如果同时使用CVE-2024-21887和CVE-2023-46805,攻击者可以在未经身份验证的情况下向未修补的系统发送恶意请求,从而允许执行任意命令。
Ivanti和Mandiant正在努力解决2100多个系统漏洞,并计划于1月30日发布补丁。但是,目前没有可用的补丁。