Descubren Fallas de Seguridad en Ivanti Connect Secure Explotadas para Desplegar el Botnet Mirai
Se han descubierto dos vulnerabilidades en los dispositivos Ivanti Connect Secure (ICS) que están siendo aprovechadas para desplegar el botnet Mirai. La vulnerabilidad CVE-2023-46805 es una falla de bypass de autenticación, mientras que la CVE-2024-21887 es una vulnerabilidad de inyección de comandos. Ambas fallos, si se explotan juntas, permiten la ejecución de código arbitrario y tomar el control de instancias vulnerables.
En la cadena de ataque observada, la CVE-2023-46805 se aprovecha para obtener acceso al punto final «/api/v1/license/key-status/;» que es vulnerable a la inyección de comandos. Posteriormente, se inyecta la carga útil. Mientras tanto, Assetnote había detallado previamente en su análisis técnico que el exploit de la CVE-2024-21887 se desencadena mediante una solicitud a «/api/v1/totp/user-backup-code/» para desplegar el malware.
Como resultado, el script de shell descarga el malware del botnet Mirai desde una dirección IP controlada por un actor («192.3.152[.]183»). El investigador de seguridad Kashinath T Pattan señaló que esta entrega resalta el cambiante panorama de las amenazas cibernéticas y advirtió que el despliegue exitoso de Mirai a través de esta vulnerabilidad podría significar la aparición de otros malware perjudiciales y ransomware.
Además, SonicWall informó el descubrimiento de la instalación de un minero de criptomonedas a través de un ejecutable falso de Windows File Explorer («explorer.exe»). Aunque actualmente se desconoce el vector exacto de distribución para el malware, tras la ejecución, libera archivos maliciosos en el directorio /Windows/Fonts/, incluido el archivo principal del minero de criptomonedas y un archivo por lotes con comandos maliciosos para iniciar el proceso de minería.
Vía The Hacker News
