Duas falhas de segurança recentemente divulgadas nos dispositivos Ivanti Connect Secure (ICS) estão sendo exploradas para implantar o infame botnet Mirai. Isso é de acordo com descobertas da Juniper Threat Labs, que afirmou que as vulnerabilidades CVE-2023-46805 e CVE-2024-21887 foram aproveitadas para entregar a carga útil do botnet. Enquanto o CVE-2023-46805 é uma falha de bypass de autenticação, o CVE-2024-21887 é uma vulnerabilidade de injeção de comandos, permitindo a um atacante encadear os dois em uma sequência de exploração para executar código arbitrário e assumir instâncias suscetíveis. Na cadeia de ataque observada pela empresa de segurança de rede, o CVE-2023-46805 é explorado para obter acesso ao endpoint “/api/v1/license/key-status/”, que é vulnerável à injeção de comandos, e injetar a carga útil. Conforme previamente detalhado pela Assetnote em sua investigação técnica profunda do CVE-2024-21887, a exploração é acionada por meio de uma solicitação para “/api/v1/totp/user-backup-code/” para implantar o malware. “Esta sequência de comandos tenta apagar arquivos, baixa um script de um servidor remoto, atribui permissões de execução e executa o script, potencialmente levando a um sistema infectado”, disse o pesquisador de segurança Kashinath T Pattan. O script shell, por sua vez, é projetado para baixar o malware do botnet Mirai de um endereço IP controlado por um ator (“192.3.152[.]183”). “A descoberta da entrega do botnet Mirai por meio dessas explo…