Новости Цепочка эксплойтов Ivanti активно используется для внедрения ботнета Mirai

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
CVE-2023-46805 и CVE-2024-21887 – билеты в один конец для вашей сетевой безопасности.


qn5zuwqgrvyikretah8k33n5f1ln2p8k.jpg


Новые уязвимости в устройствах Ivanti Connect Secure позволяют злоумышленникам развёртывать ботнет Mirai . Об этом Для просмотра ссылки Войди или Зарегистрируйся исследователи безопасности из компании Juniper , указывая на активную эксплуатацию двух уязвимостей — Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся

Первая позволяет обходить аутентификацию, а вторая внедрять команды. Вместе они позволяют атакующим выполнять произвольный код и брать под контроль уязвимые системы. В цепочке атак, наблюдаемой Juniper, уязвимости использовались для получения доступа к конечной точке «/api/v1/license/key-status/;», подверженной внедрению команд.

По информации из Для просмотра ссылки Войди или Зарегистрируйся Assetnote, вредоносное программное обеспечение активируется запросом к «/api/v1/totp/user-backup-code/», где последовательность команд стирает файлы, загружает скрипт с удалённого сервера, назначает права на выполнение и запускает скрипт, что ведёт к заражению системы.

Как объяснил исследователь безопасности Кашинат Паттан, скрипт предназначен для загрузки вредоносного ПО Mirai с IP-адреса, контролируемого злоумышленниками («192.3.152[.]183»). «Открытие этих уязвимостей для доставки ботнета Mirai подчёркивает постоянно меняющуюся ситуацию в области киберугроз», — отметил Паттан.

По его словам, в будущем следует ожидать более частого использования данных уязвимостей для распространения этого и другого вредоносного программного обеспечения.
 
Источник новости
www.securitylab.ru

Похожие темы