Критические уязвимости Ivanti: угроза для безопасности VPN

Недавно компания Ivanti раскрыла две уязвимости в своих решениях Connect Secure (ICS/ISA) VPN, Policy Secure и Neurons for ZTA. Эти уязвимости представляют серьезную угрозу для сетевой безопасности, особенно в свете активного использования их хакерами.

Уязвимости CVE-2025-0282 и CVE-2025-0283

Первая уязвимость, идентифицированная как CVE-2025-0282, была использована в ограниченном количестве случаев, в частности, в решении Connect Secure. Эта уязвимость имеет статус 0-day, что делает ее особенно опасной. Исследователи Mandiant связывают использование CVE-2025-0282 с хакером, спонсируемым государством, известным как UNC5337, который ранее использовал другие критические 0-days Ivanti в начале 2024 года.

CVE-2025-0282 классифицируется как критическая уязвимость, связанная с удаленным выполнением кода без проверки подлинности (RCE), с оценкой CVSS в 9 баллов из 10. Эта уязвимость затрагивает ограниченное число версий Connect Secure, включая версии с 22.7R2 по 22.7R2.4.

Вторая уязвимость, CVE-2025-0283, менее критична, но также представляет угрозу, позволяя пользователю, прошедшему проверку подлинности, повысить свои привилегии локально. Эта уязвимость затрагивает все версии Ivanti Connect Secure, включая версию 9.x, а также связанные с ней продукты.

Методы атаки UNC5337

В техническом отчете Mandiant подробно описаны методы атаки группы UNC5337. Обычно атака начинается с:

• Отправки HTTP-запросов от провайдеров VPS или сети Tor для выявления уязвимых версий устройств Ivanti;
• Использования уязвимости переполнения буфера на основе стека для обеспечения удаленного выполнения кода без проверки подлинности.

После успешного проникновения UNC5337 выполняет следующие действия:

• Отключает SELinux;
• Блокирует переадресацию системного журнала;
• Повторно подключает файловую систему для упрощения установки вредоносного ПО.

Методы поддержания вредоносного ПО

Для поддержания работоспособности в сети злоумышленники используют два основных метода:

• Вредоносное ПО PHASEJAM, которое имитирует поддельные обновления системы, внедряя вредоносный код в файл обработки процессов обновления и блокируя установку законных обновлений;
• Вредоносное ПО SPAWNANT, которое обеспечивает постоянство обновления системы, копируя вредоносные компоненты на новые разделы и изменяя системные файлы.

Кроме того, UNC5337 развертывает веб-оболочку и использует инструменты, такие как nmap и dig, для выявления дополнительных уязвимых систем. Они также применяют скрипт на Python под названием DRYHOOK для кражи учетных данных у прошедших проверку подлинности пользователей VPN путем перехвата и регистрации учетных данных.

Рекомендации по улучшению безопасности

В Orange Cyberdefense Security Navigator 2025 освещаются риски, связанные с незащищенными уязвимостями, подчеркивая необходимость активного управления уязвимостями. В отчете подчеркиваются следующие риски:

• Задержки с исправлением уязвимостей;
• Уязвимость VPN и аналогичных технологий.

Организациям рекомендуется провести расследование на предмет наличия признаков взлома, начиная с середины декабря, и выполнить обновленные проверки, предоставленные Ivanti, для эффективного устранения этих уязвимостей. Безопасность сетевой инфраструктуры требует серьезного подхода и своевременных действий.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.