Цепочка эксплойтов Ivanti активно используется для внедрения ботнета Mirai

Новые уязвимости в устройствах Ivanti Connect Secure позволяют злоумышленникам развёртывать ботнет Mirai. Об этом сообщают исследователи безопасности из компании Juniper, указывая на активную эксплуатацию двух уязвимостей — CVE-2023-46805 и CVE-2024-21887.

Первая позволяет обходить аутентификацию, а вторая внедрять команды. Вместе они позволяют атакующим выполнять произвольный код и брать под контроль уязвимые системы. В цепочке атак, наблюдаемой Juniper, уязвимости использовались для получения доступа к конечной точке «/api/v1/license/key-status/;», подверженной внедрению команд.

По информации из январского исследования Assetnote, вредоносное программное обеспечение активируется запросом к «/api/v1/totp/user-backup-code/», где последовательность команд стирает файлы, загружает скрипт с удалённого сервера, назначает права на выполнение и запускает скрипт, что ведёт к заражению системы.

Как объяснил исследователь безопасности Кашинат Паттан, скрипт предназначен для загрузки вредоносного ПО Mirai с IP-адреса, контролируемого злоумышленниками («192.3.152[.]183»). «Открытие этих уязвимостей для доставки ботнета Mirai подчёркивает постоянно меняющуюся ситуацию в области киберугроз», — отметил Паттан.

По его словам, в будущем следует ожидать более частого использования данных уязвимостей для распространения этого и другого вредоносного программного обеспечения.