Vulnerabilidades en Ivanti Connect Secure Permiten la Distribución del Botnet Mirai

Dos fallos de seguridad recientemente revelados en dispositivos Ivanti Connect Secure (ICS) están siendo explotados para desplegar el infame botnet Mirai.

 

Detalles de las Vulnerabilidades

Según investigaciones de Juniper Threat Labs, las vulnerabilidades CVE-2023-46805 y CVE-2024-21887 están siendo aprovechadas para entregar la carga útil del botnet.

CVE-2023-46805 es una falla de bypass de autenticación, mientras que CVE-2024-21887 es una vulnerabilidad de inyección de comandos, lo que permite a un atacante encadenar ambas en una cadena de explotación para ejecutar código arbitrario y tomar el control de instancias susceptibles.

 

Cadena de Ataque

En la secuencia de ataque observada por la compañía de seguridad de red, CVE-2023-46805 se aprovecha para acceder al endpoint “/api/v1/license/key-status/”, que es vulnerable a la inyección de comandos, e inyectar la carga útil.

 

Descripción de la Exploración

El script de shell está diseñado para descargar el malware del botnet Mirai desde una dirección IP controlada por un actor (“192.3.152[.]183”).

 

Implicaciones y Conclusiones

El descubrimiento de la distribución del botnet Mirai a través de estas vulnerabilidades resalta el panorama de amenazas cibernéticas en constante evolución. Este hecho también sugiere que se puede esperar el despliegue de otros malware dañinos y ransomware debido a estas vulnerabilidades.

En otro frente, SonicWall ha revelado que se encontró un ejecutable falso de Windows File Explorer (“explorer.exe”) que instala un minero de criptomonedas. El vector exacto de distribución para este malware aún no se conoce.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.