Usuarios de la red privada virtual Connect Secure (ICS) de Ivanti (vpn) Tenga cuidado con los dispositivos: las soluciones conllevan dos vulnerabilidades de alta gravedad que se están encadenando para ofrecer Silver malware.
Lo primero es lo primero: las dos vulnerabilidades de las que se abusa aquí se rastrean como CVE-2023-46805 y CVE-2024-21887. El primero tiene una puntuación de gravedad de 8,2, mientras que el segundo de 9,1. Los investigadores de Volexity detectaron por primera vez que se abusaba de estos dos a principios de diciembre de 2023, afirmando que los actores de amenazas patrocinados por el estado chino abusaban de ellos como días cero.
Ahora, algunos colectivos de hackers parecen estar utilizando las fallas para entregar primero KrustyLoader, un cuentagotas de carga útil construido en Rust. Sinactivo Los investigadores dicen que el objetivo de KrustyLoader es descargar Sliver desde un servidor remoto y ejecutarlo en el punto final comprometido. Sliver, por otro lado, es un marco de post-explotación multiplataforma de código abierto creado en el lenguaje Go. Se dijo que algunos lo utilizan como alternativa al Cobalt Strike.
Más errores para parchear
Surgió por primera vez a mediados de 2022, cuando pitidocomputadora informó que los piratas informáticos «abandonan el conjunto de pruebas de penetración Cobalt Strike en favor de marcos similares que son menos conocidos». Estos incluyen no solo a Sliver, sino también a Brute Ratel, Viper, Meterpreter y Havoc. Aparentemente, los piratas informáticos comenzaron a deshacerse de Cobalt Strike debido a que sus objetivos establecían defensas más fuertes. Sliver fue desarrollado por una empresa de ciberseguridad llamada BishopFox.
Se dijo que el parche para las dos fallas aún no está disponible, pero Ivanti lanzó una solución de mitigación temporal a través de un archivo XML.
Además de Sliver, aparentemente algunos piratas informáticos están utilizando estas vulnerabilidades para instalar XMRig en los puntos finales vulnerables. XMRig es un criptojacker que «secuestra» la potencia informática del dispositivo y extrae silenciosamente la criptomoneda Monero para los atacantes. Sin embargo, «silenciosamente» es exagerado, ya que los mineros consumen tanta potencia informática que es difícil no ver que el dispositivo funciona mal.
A través de Las noticias de los piratas informáticos