L’exploit è stato originariamente venduto per 50.000 dollari, ma è stato successivamente pubblicato gratuitamente dall’amministratore del nuovo forum.
Un certo numero di gruppi ransomware ha iniziato a sfruttare una vulnerabilità zero-day in EntroLink VPN dopo che l’exploit è stato pubblicato su un forum di hacker nel settembre 2021.
La vulnerabilità colpisce i dispositivi EntroLink PPX-AnyLink, diffusi nelle aziende sudcoreane e utilizzati come gateway di autenticazione utente e VPN, che forniscono ai dipendenti l’accesso remoto alle reti e alle risorse interne della loro azienda.
L’exploit per la vulnerabilità è stato pubblicato il 13 settembre. È stato originariamente venduto su un altro forum per 50.000 dollari, ma è stato poi pubblicato gratuitamente dall’amministratore di un nuovo forum di criminali informatici come promozione per attirare altri complici.
Secondo un post sul forum, la vulnerabilità deve ancora essere risolta. L’exploit utilizza un protocollo di rete e consente di eseguire codice in remoto con privilegi di superuser su dispositivi PPX-AnyLink.
La pubblicazione descrive la vulnerabilità come un problema con l’autenticazione dei dati di input. L’exploit è completamente autonomo e ti consente di compromettere il tuo dispositivo in pochi secondi.
Dopo la pubblicazione dell’exploit, i partecipanti ai programmi partner BlackMatter e LockBit si sarebbero armati.
Secondo i ricercatori di sicurezza Allan Liska e Pancak3, la vulnerabilità EntroLink PPX-AnyLink è la 54esima vulnerabilità zero-day sfruttata dai gruppi di ransomware.
