Duas falhas de segurança recentemente divulgadas em dispositivos Ivanti Connect Secure (ICS) estão sendo exploradas para implantar a infame botnet Mirai.
É o que apontam as descobertas do Juniper Threat Labs, que afirmou que as vulnerabilidades CVE-2023-46805 e CVE-2024-21887 têm sido aproveitadas para entregar o payload da botnet.
Enquanto o CVE-2023-46805 é uma falha de bypass de autenticação, o CVE-2024-21887 é uma vulnerabilidade de injeção de comando, permitindo assim que um atacante encadeie as duas em uma cadeia de exploração para executar código arbitrário e assumir o controle de instâncias suscetíveis.
Na cadeia de ataque observada pela empresa de segurança de rede, o CVE-2023-46805 é explorado para ganhar acesso ao endpoint "/api/v1/license/key-status/;", que é vulnerável a injeção de comando, e injetar o payload.
Conforme previamente detalhado pela Assetnote em sua análise técnica profunda do CVE-2024-21887, o exploit é acionado por meio de uma requisição para "/api/v1/totp/user-backup-code/" para implantar o malware.
"Esta sequência de comandos tenta apagar arquivos, baixa um script de um servidor remoto, define permissões de execução e executa o script, potencialmente levando a um sistema infectado", disse o pesquisador de segurança Kashinath T Pattan.
O shell script, por sua vez, é projetado para baixar o malware da botnet Mirai de um endereço IP controlado pelo atacante ("192.3.152[.]183").
"A descoberta da entrega da botnet Mirai por meio desses exploits destaca a paisagem sempre em evolução das ameaças cibernéticas", disse Pattan.
O fato de o Mirai ter sido entregue por essa vulnerabilidade também significa que a implantação de outros malwares nocivos e ransomware é esperada.
Este desenvolvimento surge enquanto a SonicWall revelou que um executável falso do Windows File Explorer ("explorer.exe") foi encontrado instalando um minerador de criptomoedas.
O vetor de distribuição exato do malware atualmente é desconhecido.
"Ao ser executado, ele solta arquivos maliciosos no diretório /Windows/Fonts/, incluindo o arquivo principal do minerador de cripto, um arquivo batch contendo comandos maliciosos para iniciar o processo de mineração", disse a SonicWall.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...