Всплеск атак на Ivanti Connect Secure: CVE-2025-0282 эксплузируется

Разведывательные активности, нацеленные на уязвимость в Ivanti Connect Secure, резко участились: по данным GreyNoise, с 21 по 28 января зафиксировано 100-кратное увеличение числа проверок на наличие уязвимости CVE-2025-0282. Эксперты отмечают две параллельные кампании с различными методами и инфраструктурой, что увеличивает риск успешной эксплуатации для организаций с внешне доступными инстансами Ivanti.

Что произошло

Анализ активности выявил два отличающихся по подходу набора действий:

• Первая кампания, связанная с кластером AS213790, проявляла активное сканирование преимущественно из Румынии и Молдовы — более 34 000 сеансов.
• Вторая кампания использовала более скрытный, распределённый подход: ботнеты на скомпрометированных хостах, использование residential proxy и распределение запросов через несколько облачных провайдеров для снижения вероятности обнаружения.

Операционные признаки указывают либо на одного актора, применяющего разные инструменты, либо на одновременное действие нескольких конкурирующих групп, знающих о уязвимости.

Цель атак и технические особенности

Объектом сканирования и атак является конкретная конечная точка: /dana-na/auth/url_default/welcome.cgi, напрямую связанная с уязвимостью CVE-2025-0282. Показатель EPSS для этой уязвимости составляет 93,05%, что отражает крайне высокую вероятность её использования злоумышленниками.

Для сравнения: связанная уязвимость CVE-2025-0283 имеет существенно более низкий показатель EPSS — 0,18%, и в настоящий момент не демонстрирует аналогичной степени эксплуатации.

По данным GreyNoise, за неделю наблюдался «100-кратный всплеск» проверок на наличие CVE-2025-0282.

Оценка риска

Высокий EPSS и активность нескольких кампаний указывают на реальную и неминуемую угрозу для организаций с внешне доступными инстансами Ivanti Connect Secure. Использование residential proxy и распределённые облачные развертывания затрудняют обнаружение и блокировку атак средствами, ориентированными только на простое IP-блокирование.

Рекомендации для защитников

Организациям рекомендуется незамедлительно принять следующие меры:

• Применить официальные патчи и обновления для Ivanti Connect Secure, закрывающие CVE-2025-0282.
• Провести целевую проверку журналов (logs) на предмет попыток доступа к /dana-na/auth/url_default/welcome.cgi и других аномальных запросов.
• Пересмотреть экспозицию сети: инвентаризировать все публично доступные инстансы Ivanti и при необходимости временно ограничить доступ по сети (VPN, firewall, IP allowlists).
• Внедрить или усилить мониторинг внешних запросов и корреляцию событий SIEM для быстрой детекции попыток эксплуатации.
• Блокировать выявленные indicators of compromise и подозрительные адреса/подсети, с учётом того, что злоумышленники применяют residential proxy и мультиоблачные ресурсы.
• Обновить сигнатуры IDS/IPS, WAF и правил корреляции под описанный вектор атаки.
• При подозрениях на компрометацию — изолировать пострадавшие хосты и провести форензик-расследование.

Вывод

Рост активности по CVE-2025-0282, высокий показатель EPSS и параллельные кампании с разной тактикой делают эксплуатацию этой уязвимости практически неизбежной для необновлённых систем. Организациям следует действовать немедленно: установить патчи, усилить мониторинг и пересмотреть доступность Ivanti-инстансов в интернете, чтобы минимизировать риск успешной атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.