Utilizadores dos dispositivos de rede privada virtual (VPN) da Ivanti, o Connect Secure (ICS), estão a enfrentar um grave problema de segurança. Foram identificadas duas vulnerabilidades de alta severidade nos dispositivos, que estão a ser exploradas em conjunto para a disseminação do malware Silver.
Estas falhas, identificadas como CVE-2023-46805 e CVE-2024-21887, têm uma pontuação de severidade de 8.2 e 9.1, respetivamente. A primeira vez que estas vulnerabilidades foram exploradas foi em dezembro de 2023, quando investigadores da Volexity detetaram ataques de atores de ameaças patrocinados pelo estado chinês.
A disseminação do KrustyLoader e do Sliver
Os ataques começam com a utilização do KrustyLoader, um dropper de payload desenvolvido em Rust. A função do KrustyLoader é descarregar e executar o Sliver num dispositivo comprometido. O Sliver, por sua vez, é um framework pós-exploração de código aberto e multiplataforma, desenvolvido em Go.
É frequentemente utilizado como uma alternativa ao Cobalt Strike. Esta mudança de ferramentas por parte dos hackers ocorreu devido a defesas mais robustas por parte dos alvos. O Sliver foi desenvolvido por uma empresa de cibersegurança chamada BishopFox.
Outras ameaças e medidas de mitigação
Além do Sliver, os hackers estão a utilizar estas vulnerabilidades para instalar o XMRig nos dispositivos vulneráveis. O XMRig é um cryptojacker que utiliza o poder computacional do dispositivo para minerar a criptomoeda Monero secretamente, embora o termo “secretamente” seja discutível, dado o impacto no desempenho do dispositivo. Até ao momento, a Ivanti ainda não disponibilizou um patch para corrigir estas falhas, mas lançou uma solução temporária de mitigação através de um ficheiro XML.
A exploração destas vulnerabilidades serve de alerta para todos os utilizadores de VPN, reforçando a importância de manter os sistemas atualizados e monitorizar qualquer atividade suspeita.
As VPNs são ferramentas cruciais para a segurança online, mas como qualquer tecnologia, não estão imunes a falhas. É crucial que empresas e utilizadores individuais tomem medidas proativas para proteger os seus dispositivos e dados contra essas ameaças emergentes.
Outros artigos interessantes:
