Уязвимости Ivanti Connect: угроза удаленного выполнения кода

Уязвимости Ivanti Connect: угроза удаленного выполнения кода

Изображение: cloud.google.com

8 января 2025 года компания Ivanti объявила о двух критических уязвимостях, обозначенных как CVE-2025-0282 и CVE-2025-0283, касающихся их защищенных VPN-устройств Ivanti Connect («ICS»). Уязвимость CVE-2025-0282, по данным компании Mandiant, эксплуатировалась злоумышленниками с нулевым днем с середины декабря 2024 года. Это было выявлено как неаутентифицированное переполнение буфера на основе стека, которое предоставляет возможность удаленного выполнения кода без проверки подлинности.

Влияние уязвимостей

Возможность удаленного выполнения кода открывает двери для дальнейшего взлома сетей организаций. В сотрудничестве с Mandiant, клиентами и другими партнерами, компания Ivanti провела исследование инцидентов и выпустила исправления для устранения уязвимостей. Клиентам Ivanti настоятельно рекомендуется немедленно принять меры по повышению безопасности.

Обнаруженные вредоносные экосистемы

Компания Mandiant сообщила о множестве скомпрометированных устройств Ivanti Connect Secure в различных организациях и выявила развертывание вредоносной экосистемы SPAWN на как минимум одном из зараженных устройств. Эта экосистема включает следующие элементы:

  • SPAWNANT – установщик;
  • SPAWNMOLE – туннелер;
  • SPAWNSNAIL – SSH-бэкдор.

Группа, стоящая за этой деятельностью, известна как UNC5337 и, по всей видимости, является частью более крупного кластера UNC5221. В числе обнаруженных вредоносных программ:

  • PHASEJAM – дроппер, который изменяет компоненты ICS, вставляя веб-оболочку, блокируя обновления системы и перезаписывая исполняемые файлы;
  • DRYHOOK – предназначен для кражи учетных данных с помощью изменения системного компонента DSAuth.pm.

Шпионские операции и риски

Группа UNC5337 нацеливалась на защищенные устройства Ivanti Connect с января 2024 года, используя различные тактики, такие как внедрение бэкдоров и туннелирование. Существуют серьезные опасения, что активность этой группы связана с China-nexus.

Компания Mandiant подчеркивает, что после раскрытия уязвимостей в январе 2024 года, UNC5221 узнала о широком использовании своих методов для защиты устройств Ivanti Connect по всему миру. Защитникам следует ожидать случайных атак, направленных на получение учетных данных и развертывание веб-оболочек для постоянного доступа к системам.

Рекомендации для организаций

В связи с высокой вероятностью создания эксплойтов для CVE-2025-0282, организации, использующие защищенные устройства Ivanti Connect, должны:

  • Своевременно устанавливать все доступные исправления;
  • Отслеживать признаки взлома;
  • Укреплять свои меры безопасности для снижения рисков, связанных с уязвимостями и хакерскими атаками.

Хакеры, стоящие за атаками, демонстрируют постоянную угрозу, активно манипулируя системными файлами и крадут конфиденциальную информацию. Ни одна организация не может позволить себе игнорировать эти риски.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: