Kritična sigurnosna ranjivost u Ivanti Connect Secure VPN uređajima ostavila je 2.048 instanci širom svijeta izložene potencijalnoj eksploataciji, a Sjedinjene Države su domaćini najvećem broju ranjivih sistema.
Ranjivost praćena kao CVE-2025-0282 , aktivno se koristi od sredine decembra 2024.
Ranjivost je kritično prekoračenje bafera zasnovano na steku sa CVSS ocjenom 9,0 koje omogućava neautorizirano udaljeno izvršavanje koda. Utječe na više Ivanti proizvoda, uključujući Connect Secure verzije prije 22.7R2.5, Policy Secure prije 22.7R1.2 i Neurone za ZTA gatewaye prije 22.7R2.3.
Shadowserver je primijetio da je 2.048 instanci širom svijeta ranjivo.
Mandiantova istraga je otkrila da akteri prijetnji izvode sofisticirane napade koristeći tehnike eksploatacije specifične za verziju. Redoslijed napada obično uključuje:
- Početno izviđanje za identifikaciju verzija uređaja
- Onemogućavanje sigurnosnih funkcija, uključujući SELinux
- Ponovno montiranje sistema datoteka za pristup pisanju
- Postavljanje web shell za postojanost
- Uklanjanje unosa u dnevnik kako bi se izbjeglo otkrivanje
Eksploatacija je povezana sa UNC5337, grupom prijetnji u vezi s Kinom, iako se čini da je u to uključeno više hakera.
Napadači su postavili različite malicioznog softvera, uključujući DRYHOOK i PHASEJAM, demonstrirajući sofisticirane mogućnosti u održavanju trajnog pristupa i olakšavanju krađe podataka.
Koraci ublažavanja
Ivanti je objavio hitne zakrpe za Connect Secure (verzija 22.7R2.5), dok su ažuriranja za Policy Secure i Neurons za ZTA zakazana za 21. januar 2025. Kompanija snažno preporučuje da organizacije:
- Odmah primijenite dostupne zakrpe
- Nadgledajte sisteme pomoću alata za provjeru integriteta (ICT)
- Izvršite interna i eksterna ICT skeniranja
- Izvršite resetiranje na tvorničke postavke prije nadogradnje na najnoviju verziju
Široko rasprostranjena eksploatacija ove ranjivosti prati obrazac kritičnih napada nultog dana na Ivanti proizvode, uključujući prethodne incidente koji su uticali na velike organizacije i vladine agencije.
S obzirom na to da su hiljade sistema još uvijek ranjivi, stručnjaci za sigurnost upozoravaju na potencijalnu eskalaciju pokušaja eksploatacije od strane hakera nacionalnih država i kibernetičkih kriminalnih grupa.
Izvor: CyberSecurityNews