Značajno povećanje sumnjivih aktivnosti skeniranja usmjerenih na Ivanti Connect Secure (ICS) i Ivanti Pulse Secure (IPS) VPN sisteme, signalizirajući potencijalno koordinirano izviđanje od strane hakera.
Nagli porast, koji registruje više od 230 jedinstvenih IP adresa koje ispituju ICS/IPS krajnje tačke u jednom danu, predstavlja devetostruko povećanje u odnosu na tipičnu dnevnu osnovnu liniju od manje od 30 jedinstvenih IP adresa.
Aktivnost skeniranja i infrastruktura
GreyNoise-ovi sistemi za praćenje označili su ovu anomaliju svojom namjenskom oznakom ICS skenera, koja prati IP adrese koje pokušavaju da identifikuju ICS/ IPS sisteme dostupne na Internetu .
U proteklih 90 dana, uočeno je ukupno 1.004 jedinstvenih IP adresa koje vrše slična skeniranja, sa sljedećim klasifikacijama:
- 634 Sumnjivo
- 244 Zlonamjeran
- 126 Benign
Važno je da nijedan od ovih IP-ova nije bio lažan, što ukazuje da su napadači iskoristili stvarnu infrastrukturu koja se može pratiti.
Tri najveće zemlje izvora za aktivnost skeniranja su Sjedinjene Države, Njemačka i Nizozemska, dok su primarni ciljevi organizacije u ovim zemljama.
Maliciozni IP-ovi koji su ranije uočeni u drugim lošim aktivnostima prvenstveno potiču iz Tor izlaznih čvorova i dobro poznatih cloud ili VPS provajdera.
Nasuprot tome, sumnjive IP adrese se često povezuju sa manje poznatim hosting uslugama i nišnom infrastrukturom u oblaku, što sugeriše mješavinu sofisticiranih i oportunističkih hakera.
Pejzaž ranjivosti: CVE-2025-22457
Ovaj porast skeniranja poklapa se s povećanom pažnjom na CVE-2025-22457 , kritičnu ranjivost bafera baziranu na steku u Ivanti Connect Secure (verzije 22.7R2.5 i ranije), Pulse Connect Secure 9.x (sada prestala podrška), Ivanti Policy Z Secure i ga Neurons za ga.
U početku je potcijenjen, kasnije je otkriveno da ova mana omogućava neautorizirano daljinsko izvršavanje koda (RCE), dozvoljavajući napadačima da pokreću proizvoljni kod na ranjivim uređajima.
Zakrpa za CVE-2025-22457 objavljena je 11. februara 2025. (ICS verzija 22.7R2.6), ali mnogi stari uređaji ostaju nezakrpljeni i izloženi.
Eksploatacija u divljini je već potvrđena, s naprednim grupama persistentnih prijetnji (APT) kao što je UNC5221 koji su reverzibilni inženjering zakrpe kako bi razvili radne eksploatacije.
Ivanti Connect Secure VPN-ovi su široko rasprostranjeni za poslovni daljinski pristup, što ih čini visokovrijednim metama za cyber kriminalce i hakere iz nacionalne države.
Istorijski obrasci pokazuju da skokovi u aktivnosti skeniranja često prethode javnom otkrivanju ili masovnoj eksploataciji novih ranjivosti.
Trenutni talas izviđanja može ukazivati na to da napadači mapiraju ranjive sisteme u pripremi za napade velikih razmjera , kampanje ransomware-a ili kršenje podataka.
Odbrambene preporuke
Da bi ublažile rizik, organizacije treba da:
- Odmah zakrpite sve ICS/IPS sisteme na najnovije verzije (ICS 22.7R2.6 ili novije).
- Pregledajte dnevnike za sumnjive probe i pokušaje prijave sa novih ili nepouzdanih IP adresa.
- Blokirajte poznate maliciozne ili sumnjive IP adrese koje identifikuje GreyNoise i drugi izvori podataka o prijetnjama.
- Nadgledajte neuobičajenu aktivnost provjere autentičnosti, posebno s Tor ili IP adresa u oblaku.
- Koristite Ivantijev alat za provjeru integriteta (ICT) da prepoznate znakove kompromisa.
GreyNoise nastavlja pratiti ovu prijetnju koja se razvija i savjetuje da sigurnosni timovi ostanu na oprezu.
Izvor: CyberSecurityNews
