Кибервымогатели вооружились уязвимостью 0-day в EntroLink PPX-AnyLink

Целый ряд кибервымогательских группировок стали эксплуатировать уязвимость нулевого дня в EntroLink VPN после публикации на хакерском форуме эксплоита в сентябре 2021 года.

Уязвимость затрагивает устройства EntroLink PPX-AnyLink, популярные в южнокорейских компаниях и использующиеся в качестве шлюзов для аутентификации пользователей и VPN, которые обеспечивают сотрудникам удаленный доступ к сетям и внутренним ресурсам их компаний.

Эксплоит для уязвимости был опубликован 13 сентября. Изначально он продавался на другом форуме за $50 тыс., но затем был опубликован бесплатно администратором нового киберпреступного форума в качестве промо-акции с целью привлечения киберпреступников.

Согласно публикации на форуме, уязвимость все еще не исправлена. Эксплоит использует сетевой протокол и позволяет удаленно выполнить код с привилегиями суперпользователя на устройствах PPX-AnyLink.

В публикации уязвимость описывается как проблема с подтверждением подлинности входных данных. Эксплоит является полностью автономным и позволяет скомпрометировать устройство за считанные секунды.

После публикации эксплоитом предположительно вооружились участники партнерских программ BlackMatter и LockBit.

По данным исследователей безопасности Аллана Лиски (Allan Liska) и Pancak3 , уязвимость в EntroLink PPX-AnyLink является 54-й уязвимостью нулевого дня, эксплуатирующейся кибервымогательскими группировками.