Recientes fallas en Ivanti Connect Secure (ICS), una solución de red privada virtual (VPN), han sido aprovechadas para desplegar KrustyLoader (carga útil basada en Rust). Este malware tiene como objetivo descargar la herramienta «Sliver».
Las vulnerabilidades Zero-Day, identificadas como CVE-2023-46805 (CVSS: 8.2) y CVE-2024-21887 (CVSS: 9.1), pueden ser explotadas de manera conjunta para lograr la ejecución remota de código no autenticado en dispositivos vulnerables.
Aunque, hasta la fecha, los parches para estas fallas han experimentado retrasos, Ivanti ha proporcionado una mitigación temporal a través de un archivo XML.
Volexity sostiene que:
Las vulnerabilidades han sido aprovechadas como armas Zero-Day desde el 3 de diciembre de 2023 por un actor de amenazas estatal chino identificado como UTA0178, también conocido como UNC5221 según Mandiant, una subsidiaria de Google.
Tras la divulgación pública, las fallas han sido ampliamente explotadas por otros ciberdelincuentes para eliminar mineros de criptomonedas XMRig (malware basado en Rust).
Según Synacktiv: KrustyLoader revela su función como cargador para descargar y ejecutar Sliver desde un servidor remoto en el sistema comprometido (Sliver es un marco multiplataforma de postexplotación basado en Golang y desarrollado por BishopFox).
ShadowServer monitorea a diario las instancias de Ivanti VPN comprometidas en todo el mundo, y tan solo el 01 de febrero identificaron más de 380 dispositivos comprometidos.
Fuente:
Ivanti advierte de que el nuevo Connect Secure zero-day ha sido explotado en ataques