Você está visualizando atualmente Mirai Botnet Explora Falhas no Ivanti Connect Secure para Entrega de Carga Maliciosa

Mirai Botnet Explora Falhas no Ivanti Connect Secure para Entrega de Carga Maliciosa

Duas falhas de segurança recentemente divulgadas nos dispositivos Ivanti Connect Secure (ICS) estão sendo exploradas para implantar o infame botnet Mirai. De acordo com descobertas dos Laboratórios de Ameaças da Juniper, as vulnerabilidades CVE-2023-46805 e CVE-2024-21887 foram usadas para entregar a carga do botnet. Enquanto o CVE-2023-46805 é uma falha de bypass de autenticação, o CVE-2024-21887 é uma vulnerabilidade de injeção de comando, permitindo que um invasor encadeie as duas em uma cadeia de exploração para executar código arbitrário e assumir instâncias suscetíveis. Na cadeia de ataque observada pela empresa de segurança de rede, o CVE-2023-46805 é explorado para obter acesso ao endpoint “/api/v1/license/key-status/”, que é vulnerável à injeção de comando, e injetar a carga útil. Como anteriormente detalhado pela Assetnote em sua análise técnica do CVE-2024-21887, o exploit é acionado por meio de uma solicitação para “/api/v1/totp/user-backup-code/” para implantar o malware. “Essa sequência de comandos tenta apagar arquivos, baixa um script de um servidor remoto, define permissões de execução e executa o script, potencialmente levando a um sistema infectado”, disse o pesquisador de segurança Kashinath T Pattan. O script shell, por sua vez, é projetado para baixar o malware do botnet Mirai de um endereço IP controlado pelo ator (“192.3.152[.]183”). “A descoberta da entrega do botnet Mirai por meio desses exploits destaca o cenário em constante evolução das ameaças cibernéticas”, disse Pattan. “O fato de que o Mirai foi entregue por meio dessa vulnerabilidade também significa que a implantação de outros malwares prejudiciais e ransomwares é esperada.” O desenvolvimento ocorre enquanto a SonicWall revelou que um executável falso do Windows File Explorer (“explorer.exe”) foi encontrado para instalar um minerador de criptomoedas. O vetor de distribuição exato para o malware é atualmente desconhecido. “Após a execução, ele deixa arquivos maliciosos no diretório /Windows/Fonts/, incluindo o principal arquivo de mineração de criptomoedas, um arquivo em lote contendo comandos maliciosos para iniciar o processo de mineração”, disse a SonicWall.