KrustyLoader恶意软件利用Ivanti VPN缺陷进行传播CVE-2024-21887、CVE-2023-46805

安全侠2024-02-01 17:53:20
黑客利用Ivanti VPN中的零日漏洞部署恶意软件和加密货币挖矿程序,目标包括财富500强公司、政府机构和国防承包商。



随着黑客试图利用Ivanti VPN设备中的零日漏洞来部署恶意软件和加密货币挖矿程序,网络安全问题日益严重。这些漏洞分别为CVE-2023-46805和CVE-2024-21887,是在Ivanti Connect Secure(ICS)和Ivanti Policy Secure Gateway设备中发现的,允许攻击者在目标主机上远程执行任意命令,以加载名为KrustyLoader。


“Ivanti Connect Secure(ICS)(以前称为Pulse Connect Secure和Ivanti Policy Secure网关)中发现了漏洞。这些漏洞影响所有受支持的版本——版本9.x和22.x。”Ivanti在最近的一份通报中证实。


CVE-2023-46805是一个身份验证绕过缺陷,CVSS评分为8.2。它允许远程攻击者绕过Ivanti ICS 9.x、22.x和Ivanti Policy Secure的Web组件中的控制检查。


CVE-2024-21887,是一个命令注入漏洞,CVSS评分为9.1。它在Ivanti Connect Secure(9.x、22.x)和Ivanti Policy Secure Web组件中被发现,允许经过身份验证的管理员通过发送精心设计的请求和执行任意命令来利用Ivanti设备。


目标包括全球小型到大型企业,包括财富500强公司、政府部门、电信、国防承包商、技术公司、银行、金融、会计机构、咨询服务和航空航天实体。


这些问题首先由Volexity报告,据其称,这些漏洞早在2023年12月3日就已被作为零日漏洞利用。他们确定了一个名为UTA0178(Mandiant追踪为UNC5221)的APT组织对此次利用负责。Volexity在发现攻击者在多个内部和面向外部的Web服务器上执行Webshel​​l后收到警报。


该公司发起了一项调查,并于2023年12月使用GIFTEDVISITOR Webshel​​l发现了2100多台受感染的Ivanti Connect Secure VPN设备。2024年1月的一次新扫描发现了另外368台受感染的设备。


研究人员检查了受损的Connect Secure VPN设备,发现UTA0178对内置完整性检查工具进行了修改,导致该工具报告没有新文件或不匹配的文件。

Synacktiv研究员Théo Letailleur进行了广泛的调查,发现威胁行为者正在利用Ivanti零日漏洞安装XMRig加密货币挖矿程序,并从远程服务器执行基于Golang的Sliver后门。


KrustyLoader充当加载程序,在受感染的主机上下载/执行Sliver。由于它基于Rust语言,因此完全理解恶意软件的行为具有挑战性。


Bishop Fox的Sliver是一个后利用工具包,专为网络犯罪分子设计,以保持对受感染系统的控制。2023年,执法部门试图关闭Cobalt Strike的“破解”版本后,它在网络犯罪分子中广受欢迎。


该后门提供广泛的功能,包括网络间谍、命令执行、加载反射DLL和生成会话。Synacktiv报告称,所有样本都从不同的URL下载Sliver,并使用HTTP/HTTPS通信与C2建立连接。


Ivanti的通报表明,如果同时使用CVE-2024-21887和CVE-2023-46805,攻击者可以在未经身份验证的情况下向未修补的系统发送恶意请求,从而允许执行任意命令。


Ivanti和Mandiant正在努力解决2100多个系统漏洞,并计划于1月30日发布补丁。但是,目前没有可用的补丁。

网络安全漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
明确各级网络安全责任人。充分利用云原生技术,推进以微服务模式提供各类安全能力组件接口,推进数字电网安全“中枢”所有专业功能组件分层解耦和接口标准化,建立开放生态,支持后续功能叠加演进。增强产品服务供应链入网安全。提升已入网产品、服务供应链应急能力。实战化锤炼网络安全队伍,加强应急指挥与处置能力。
网络安全漏洞(以下简称“漏洞”)作为信息通信网络中在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,随着经济社会信息化、网络化、数字化和智能化程度的加深,对国家网络安全的影响也日益加剧。世界各主要国家和组织为了切实提升国家网络安全防护能力,围绕漏洞的研究、收集和利用,纷纷建立国家级漏洞通报平台或漏洞数据库。日本于2003年开始建设“日本漏洞通报”(JVN)平台;美国于 2005 年开始建设“
利用网络安全漏洞实施攻击的安全事件频发,使网络安全漏洞治理成为保障国家网络安全的重要议程。当前,囿于在漏洞评级指标、漏洞披露政策以及“白帽子”法律责任层面缺乏整体性考量,我国网络安全漏洞治理框架亟待面向“合作主义”转型。为此,需通过行政与司法的合作明晰“白帽子”法律责任的边界,通过行政部门之间的合作搭建网络安全漏洞协同机制,通过行政与公众的合作拓宽社会公众参与漏洞治理的渠道,协力共筑网络安全漏洞
网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品
本文是在CNVD数据基础上,针对网络安全产品安全漏洞分布的统计分析,不包含非安全类信息系统,以上请读者悉知。数说安全根据CNVD公开数据整理 下面是2010年至今,CNVD披露的漏洞信息中,最受关注的20个高危漏洞,其中国外产品占据8个,国内产品占据12个。数说安全根据CNVD公开数据整理 来源:数说安全
对企业而言,资产清单必须经常更新,并作为活跃文档加以维护。根据漏洞的严重程度、影响范围和可能性,对漏洞进行分类和排序。漏洞修复计划应该包括漏洞修复的时间表、责任人和所需资源。报告既需要包括已修复的漏洞信息,包括检测到的漏洞、严重程度、完成的补救工作以及确认成功解决等;还应该显示未解决的漏洞,以及未解决的具体原因和下一步计划。因此,企业要创建定期漏洞扫描计划,以便持续监控和快速修复漏洞
网络安全基础设施和安全局周二为联邦民事机构推出了两本手册,用于规划和实施网络安全漏洞和事件响应。
具体来说,HARDEN将通过破坏攻击者使用的持久的漏洞可利用模式,并剥夺攻击者的“紧急执行引擎”,来防止其对集成系统的利用。HARDEN分析和工具将破坏UEFI架构所有抽象层上EE行为的可组合性,以防御最新的威胁并预测未来的威胁。SOSA是由空军生命周期管理中心提出的,具有广泛的行业参与其中。SOSA关注的重点领域是对传感器系统的启动过程进行建模和验证,以确保系统在传感器投入运行之前的完整性。
当今世界正处于百年未有之大变局,国际形势风云变幻,推动全球治理体系深刻变革,网络空间治理作为全球治理的全新命题和重要领域,关系着全人类的命运。
安全侠
暂无描述