KrustyLoader. Los errores de omisión de RCE/auth en las VPN Connect Secure no han sido corregidos durante 20 días mientras los grupos patrocinados por el estado continúan utilizando puertas traseras en los equipos de Ivanti.
Los atacantes están utilizando un par de vulnerabilidades críticas de día cero en las VPN de Ivanti para implementar un conjunto de puertas traseras basadas en Rust, que a su vez descargan un malware de puerta trasera denominado “KrustyLoader”.
Los dos errores se revelaron a principios de enero (CVE-2024-21887 y CVE-2023-46805), lo que permite la ejecución remota de código (RCE) no autenticado y la omisión de autenticación, respectivamente, lo que afecta el equipo Connect Secure VPN de Ivanti. Ninguno tiene parches todavía.
Si bien ambos días cero ya estaban bajo explotación activa en la naturaleza, los actores de amenazas persistentes avanzadas (APT, por sus siglas en inglés) patrocinados por el estado chino (UNC5221, también conocido como UTA0178) rápidamente se dieron cuenta de los errores después de la divulgación pública, lo que generó intentos de explotación masiva en todo el mundo .
ANÁLISIS
El análisis de Volexity de los ataques descubrió 12 cargas útiles de Rust separadas pero casi idénticas que se descargaban en dispositivos comprometidos, que a su vez descargan y ejecutan una variante de la herramienta de equipo Sliver red, que el investigador de Synacktiv Théo Letailleur llamó KrustyLoader.
” Sliver 11 es una herramienta de simulación de adversarios de código abierto que está ganando popularidad entre los actores de amenazas, ya que proporciona un marco práctico de comando y control”, dijo Letailleur en su análisis de ayer, que también ofrece hashes, una regla de Yara y una script para la detección y extracción de indicadores de compromiso (IoC).
Observó que el implante Sliver reajustado actúa como una puerta trasera sigilosa y fácilmente controlable.
“KrustyLoader, como lo llamé, realiza comprobaciones específicas para ejecutarse sólo si se cumplen las condiciones”, añadió, señalando que también está muy confuso.
“El hecho de que KrustyLoader haya sido desarrollado en Rust plantea dificultades adicionales para obtener una buena visión general de su comportamiento”.
Mientras tanto, los parches para CVE-2024-21887 y CVE-2023-46805 en Connect Secure VPN están retrasados. Ivanti las había prometido el 22 de enero, lo que provocó una alerta de CISA, pero no se materializaron.
ACTUALIZACIÓN DE ERRORES
En la última actualización de su aviso sobre los errores, publicada el 26 de enero, la empresa señaló: “El lanzamiento específico de parches para las versiones compatibles se retrasa, este retraso afecta a todos los lanzamientos de parches planificados posteriores…
Los parches para las versiones compatibles seguirán estando disponibles”. lanzado en un calendario escalonado.”
Ivanti dijo que apuntará a las correcciones esta semana, pero señaló que “el momento del lanzamiento del parche está sujeto a cambios a medida que priorizamos la seguridad y la calidad de cada lanzamiento”.
A día de hoy, han pasado 20 días desde que se revelaron las vulnerabilidades.
También te puede interesar leer: El software espía Pegasus apunta a los dispositivos móviles de periodistas togoleses