Критические уязвимости Ivanti: угроза удалённого выполнения кода

Критические уязвимости Ivanti: угроза удалённого выполнения кода

В январе 2025 года компания Ivanti информировала о двух критических уязвимостях в своих продуктах, идентифицированных как CVE-2025-0282 и CVE-2025-0283. Эти уязвимости представляют собой значительную угрозу для организаций, использующих аспекты технологий Ivanti.

Описание уязвимостей

CVE-2025-0282 относится к уязвимости, связанной с переполнением буфера в стеке, позволяя злоумышленникам осуществлять удаленное выполнение кода без проверки подлинности (Remote Code Execution, RCE). В свою очередь, CVE-2025-0283 может способствовать повышению привилегий, если его использовать вместе с первой уязвимостью, предоставляя злоумышленникам, прошедшим локальную проверку подлинности, повышенный доступ к системе.

Подозрительная активность и попытки эксплуатации

На момент раскрытия информации Ivanti заявила, что не имеет сведений о каком-либо использовании CVE-2025-0283. Однако исследовательская группа Darktrace по изучению угроз уже зафиксировала попытки эксплуатации CVE-2025-0282 в декабре 2024 года. Рассмотрим несколько примеров:

  • 29 декабря 2024 года устройство было подключено к сети, используя учетные данные SMB. После этого была проведена аутентификация по протоколу RDP, что привело к необычным действиям по сканированию сети.
  • Хакеры использовали механизмы планирования задач в системе для запуска вредоносного кода, что указывает на потенциальное повышение привилегий.
  • 13 января 2025 года другое устройство попыталось загрузить файлы, такие как DeElevate64.dll и DeElevate64.exe, с определенного IP-адреса, который, согласно внешним отчетам, используется для скрытого доступа к скомпрометированным системам.

Потенциальные угрозы и рекомендации

Darktrace также зафиксировала операции записи файлов, которые могут указывать на попытки развертывания удаленных запланированных задач с использованием вредоносных скриптов. Среди обнаруженных элементов активности значилось имя хоста DESKTOP-1JIMIV3, которое использовалось для доступа к скомпрометированным учетным записям.

Эти события подчеркивают серьезные риски, связанные с эксплуатацией уязвимостей в интернет-ресурсах. Своевременное выявление таких действий в системах компаний указывает на необходимость усиления мер безопасности и адаптации к новым методам атак. Это также поднимает вопрос о дефиците персонала в области кибербезопасности, что является операционной проблемой для многих организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: