Botnet Mirai khai thác lỗ hổng bảo mật Ivanti Connect để phân phối tệp độc hại


 
 Hai lỗ hổng bảo mật được tiết lộ gần đây trong các thiết bị Ivanti Connect Secure (ICS) đang được khai thác để triển khai mạng botnet Mirai khét tiếng.

Đó là theo phát hiện từ Juniper Threat Labs, cho biết các lỗ hổng CVE-2023-46805 và CVE-2024-21887 đã được tận dụng để cung cấp tải trọng botnet.

Trong khi CVE-2023-46805 là một lỗ hổng bỏ qua xác thực, CVE-2024-21887 là một lỗ hổng tiêm lệnh, do đó cho phép kẻ tấn công xâu chuỗi cả hai vào một chuỗi khai thác để thực thi mã tùy ý và tiếp quản các trường hợp nhạy cảm.

Trong chuỗi tấn công được quan sát bởi công ty an ninh mạng, CVE-2023-46805 được khai thác để truy cập vào điểm cuối "/api/v1/license/key-status/;", dễ bị tấn công bởi command injection và tiêm payload.

Như đã nêu trước đây bởi Assetnote trong phần chuyên sâu kỹ thuật của họ về CVE-2024-21887, việc khai thác được kích hoạt bằng yêu cầu "/api/v1/totp/user-backup-code/" để triển khai phần mềm độc hại.

"Chuỗi lệnh này cố gắng xóa các tệp, tải xuống tập lệnh từ máy chủ từ xa, đặt quyền thực thi và thực thi tập lệnh, có khả năng dẫn đến hệ thống bị nhiễm", nhà nghiên cứu bảo mật Kashinath T Pattan cho biết.

Về phần mình, tập lệnh shell được thiết kế để tải xuống phần mềm độc hại botnet Mirai từ địa chỉ IP do tác nhân kiểm soát ("192.3.152[.] 183").

"Việc phát hiện ra việc phân phối botnet Mirai thông qua các khai thác này làm nổi bật bối cảnh ngày càng phát triển của các mối đe dọa mạng", Pattan nói. "Thực tế là Mirai đã được phân phối thông qua lỗ hổng này cũng có nghĩa là việc triển khai các phần mềm độc hại và ransomware có hại khác sẽ được mong đợi."

Sự phát triển này diễn ra khi SonicWall tiết lộ rằng một tệp thực thi Windows File Explorer giả mạo ("explorer.exe") đã được tìm thấy để cài đặt một công cụ khai thác tiền điện tử. Vectơ phân phối chính xác cho phần mềm độc hại hiện chưa được biết.

"Sau khi thực thi, nó thả các tệp độc hại vào thư mục / Windows / Fonts / , bao gồm tệp khai thác tiền điện tử chính, một tệp hàng loạt chứa các lệnh độc hại để bắt đầu quá trình khai thác", SonicWall nói.

Mới hơn Cũ hơn