Dos fallos de seguridad recientemente revelados en dispositivos Ivanti Connect Secure (ICS) están siendo explotados para desplegar el infame botnet Mirai.
Detalles de las Vulnerabilidades
Según investigaciones de Juniper Threat Labs, las vulnerabilidades CVE-2023-46805 y CVE-2024-21887 están siendo aprovechadas para entregar la carga útil del botnet.
CVE-2023-46805 es una falla de bypass de autenticación, mientras que CVE-2024-21887 es una vulnerabilidad de inyección de comandos, lo que permite a un atacante encadenar ambas en una cadena de explotación para ejecutar código arbitrario y tomar el control de instancias susceptibles.
Cadena de Ataque
En la secuencia de ataque observada por la compañía de seguridad de red, CVE-2023-46805 se aprovecha para acceder al endpoint “/api/v1/license/key-status/”, que es vulnerable a la inyección de comandos, e inyectar la carga útil.
Descripción de la Exploración
El script de shell está diseñado para descargar el malware del botnet Mirai desde una dirección IP controlada por un actor (“192.3.152[.]183”).
Implicaciones y Conclusiones
El descubrimiento de la distribución del botnet Mirai a través de estas vulnerabilidades resalta el panorama de amenazas cibernéticas en constante evolución. Este hecho también sugiere que se puede esperar el despliegue de otros malware dañinos y ransomware debido a estas vulnerabilidades.
En otro frente, SonicWall ha revelado que se encontró un ejecutable falso de Windows File Explorer (“explorer.exe”) que instala un minero de criptomonedas. El vector exacto de distribución para este malware aún no se conoce.