Подробнее Ivanti VPN Zero-Days разжигает безумие атак по мере того, как наконец-то выходят патчи

Компания Ivanti наконец-то приступила к исправлению пары уязвимостей нулевого дня, обнаруженных 10 января в ее устройствах Connect Secure VPN. Однако сегодня компания также объявила о двух дополнительных ошибках в платформе: CVE-2024-21888 и CVE-2024-21893, последняя из которых также активно эксплуатируется.

Ivanti выпустила первую порцию патчей для исходного набора нулевых дней (CVE-2024-21887 и CVE-2023-46805), но только для некоторых версий; Дополнительные исправления будут внедряться по шахматному графику в ближайшие недели, сообщила компания в своем обновленном сообщении сегодня. Тем временем Иванти предоставил меры по смягчению последствий, которые организациям, не прошедшим исправления, следует применить немедленно, чтобы не стать жертвой кибератак. массовая эксплуатация китайскими актерами, спонсируемыми государством и финансово мотивированные киберпреступники.

Множественные пользовательские вредоносные программы приводят к атакам по краже данных

То, что эксплуатация продолжается. По данным Mandiant, поддерживаемая Китаем продвинутая постоянная угроза (APT), которую он называет UNC5221, стояла за множеством атак, начиная с начала декабря. Но в целом активность значительно возросла после того, как ранее в январе были обнародованы CVE-2024-21888 и CVE-2024-21893.

«Помимо UNC5221, мы признаем возможность того, что с этой деятельностью могут быть связаны одна или несколько связанных групп», — заявили исследователи Mandiant в анализ кибератак Ivanti выпущен сегодня. «Вполне вероятно, что дополнительные группы, помимо UNC5221, приняли один или несколько инструментов [связанных с компромиссами]».

В связи с этим Mandiant опубликовал дополнительную информацию о типах вредоносного ПО, которое UNC5221 и другие участники используют в атаках на защищенные VPN Ivanti Connect. На данный момент имплантаты, которые они наблюдали в дикой природе, включают:

«Государственные субъекты UNC5221 успешно выявили и использовали уязвимости в Ivanti для кражи данных конфигурации, изменения существующих файлов, загрузки удаленных файлов и обратного туннелирования внутри сетей», — говорит Кен Данхэм, директор по киберугрозам в Qualys Threat Research Unit, который предупреждает Пользователи Ivanti должны следить за атаками в цепочке поставок на своих клиентов, партнеров и поставщиков. «Иванти, скорее всего, станет мишенью из-за функциональности и архитектуры, которые он предоставляет субъектам в случае взлома в качестве сетевого и VPN-решения в сети и нижестоящие цели, представляющие интерес».

В дополнение к этим инструментам исследователи Mandiant отметили активность, в которой используется обход первоначальной техники устранения пробелов Иванти, подробно описанной в исходной рекомендации; В ходе этих атак неизвестные киберзлоумышленники развертывают специальную веб-оболочку кибершпионажа под названием «Bushwalk», которая может читать или записывать файлы на сервер.

«Эта деятельность носит строго целенаправленный, ограниченный характер и отличается от деятельности по массовой эксплуатации после вынесения рекомендаций», — утверждают исследователи, которые также предоставили обширные индикаторы компрометации (IoC) для правозащитников и правила YARA.

Ivanti и CISA выпустили обновленное руководство по смягчению последствий вчера, что организации должны подать заявку.

Две свежие серьезные ошибки нулевого дня

Помимо выпуска исправлений для ошибок трехнедельной давности, Иванти также добавил в ту же рекомендацию исправления для двух новых CVE. Они есть:

В дикой природе циркулируют только эксплойты для последнего, и эта деятельность «кажется целенаправленной», согласно рекомендации Иванти, но он добавил, что организациям следует «ожидать резкого увеличения количества эксплойтов, как только эта информация станет общедоступной — аналогично тому, что мы наблюдали». 11 января после раскрытия информации от 10 января».

Данэм из Qualys TRU говорит, что следует ожидать атак не только со стороны APT: «Множество субъектов пользуются возможностями эксплуатации уязвимостей до того, как организации вносят исправления и укрепляют меры защиты от атак. Ivanti используется в качестве оружия субъектами национальных государств, а теперь, вероятно, и другими - он должен привлечь ваше внимание и приоритет исправления, если вы используете уязвимые версии в производстве».

Исследователи также предупреждают, что результат компрометации может быть опасен для организаций.

«Эти [новые] недостатки высокого уровня безопасности Ivanti серьезны [и особенно ценны для злоумышленников] и должны быть немедленно исправлены», — говорит Патрик Тике, вице-президент по безопасности и архитектуре Keeper Security. «Эти уязвимости, если они будут использованы, могут предоставить несанкционированный доступ к конфиденциальным системам и поставить под угрозу всю сеть».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling