Ivanti Connect Secure (ICS) cihazlarında yakın zamanda açıklanan iki güvenlik açığı, kötü şöhretli Mirai botnet’ini dağıtmak için kullanılıyor.
Juniper Threat Labs’ın bulgularına göre bu, botnet yükünü sağlamak için CVE-2023-46805 ve CVE-2024-21887 güvenlik açıklarından yararlanıldığını belirtti.
CVE-2023-46805 bir kimlik doğrulama atlama kusuru olsa da, CVE-2024-21887 bir komut yerleştirme güvenlik açığıdır ve böylece bir saldırganın, rastgele kod yürütmek ve duyarlı örnekleri ele geçirmek için bu ikisini bir yararlanma zincirinde zincirlemesine olanak tanır.
Ağ güvenliği şirketi tarafından gözlemlenen saldırı zincirinde, “/api/v1/license/key-status/;” dosyasına erişim sağlamak için CVE-2023-46805’ten yararlanılıyor. Komut enjeksiyonuna karşı savunmasız olan uç nokta ve yükü enjekte edin.
Assetnote’un CVE-2024-21887’ye ilişkin teknik derinlemesine incelemesinde daha önce belirtildiği gibi, istismar, kötü amaçlı yazılımı dağıtmak için “/api/v1/totp/user-backup-code/” isteği aracılığıyla tetikleniyor.
Güvenlik araştırmacısı Kashinath T Pattan, “Bu komut dizisi, dosyaları silmeye çalışır, uzak bir sunucudan bir komut dosyası indirir, yürütülebilir izinleri ayarlar ve komut dosyasını çalıştırır, bu da potansiyel olarak virüslü bir sisteme yol açar” dedi.
Kabuk betiği, Mirai botnet kötü amaçlı yazılımını aktör tarafından kontrol edilen bir IP adresinden (“192.3.152″) indirmek için tasarlanmıştır.[.]183”).
Pattan, “Bu istismarlar aracılığıyla Mirai botnet dağıtımının keşfedilmesi, sürekli gelişen siber tehdit ortamını vurguluyor” dedi. “Mirai’nin bu güvenlik açığı aracılığıyla dağıtıldığı gerçeği, aynı zamanda diğer zararlı kötü amaçlı yazılımların ve fidye yazılımlarının da yayılmasının bekleneceği anlamına gelecektir.”
Gelişme, SonicWall’ın, kripto para madencisini yüklemek için sahte bir Windows Dosya Gezgini yürütülebilir dosyasının (“explorer.exe”) bulunduğunu ortaya çıkarmasıyla ortaya çıktı. Kötü amaçlı yazılımın tam dağıtım vektörü şu anda bilinmiyor.
SonicWall, “Yürütme sonrasında, madencilik sürecini başlatmak için kötü amaçlı komutlar içeren bir toplu iş dosyası olan ana kripto madenci dosyası da dahil olmak üzere /Windows/Fonts/ dizinine kötü amaçlı dosyalar bırakır” dedi.