Сперва главное:
🔒 Крупный американский производитель программного обеспечения Ivanti предупредил о том, что уязвимость нулевого дня в его широко используемом корпоративном VPN-устройстве была использована для взлома сетей корпоративных клиентов.
🛡️ Уязвимость, отслеживаемая как CVE-2025-0282, может быть использована без какой-либо аутентификации для удалённого внедрения вредоносного кода в продукты Ivanti Connect Secure, Policy Secure и ZTA Gateways.
⚙️ Компания выпустила патч для Connect Secure, но патчи для Policy Secure и ZTA Gateways не будут выпущены до 21 января.
🕵️♂️ Mandiant, фирма по реагированию на инциденты, обнаружила, что хакеры эксплуатируют уязвимость Connect Secure с середины декабря 2024 года. Хотя Mandiant не может приписать взлом конкретному субъекту угрозы, она подозревает группу кибершпионажа, связанную с Китаем.
🌍 Национальный центр кибербезопасности Великобритании заявил, что расследует случаи активного использования уязвимости, затрагивающей британские сети. Агентство кибербезопасности США CISA также добавило уязвимость в свой каталог известных уязвимостей.
Теперь подробнее:
Американский гигант программного обеспечения Ivanti предупредил, что уязвимость нулевого дня в его широко используемом корпоративном VPN-устройстве была использована для компрометации сетей его корпоративных клиентов.
В среду Ivanti заявила, что уязвимость критического уровня, отслеживаемая как CVE-2025-0282, может быть использована без какой-либо аутентификации для удалённой установки вредоносного кода на продукты Ivanti Connect Secure, Policy Secure и ZTA Gateways. Ivanti сообщает, что её решение VPN для удалённого доступа Connect Secure «является наиболее широко используемым SSL VPN организациями любого размера во всех основных отраслях».
Это последняя уязвимость безопасности, нацеленная на продукты Ivanti за последние годы. В прошлом году производитель технологий пообещал пересмотреть свои процессы обеспечения безопасности после того, как хакеры использовали уязвимости в нескольких его продуктах для запуска массовых атак на его клиентов.
Компания заявила, что узнала о последней уязвимости после того, как её инструмент проверки целостности Ivanti (ICT) обнаружил вредоносную активность на некоторых клиентских устройствах.
В консультационном сообщении, опубликованном в среду, Ivanti подтвердила, что злоумышленники активно используют CVE-2025-0282 «как уязвимость нулевого дня», а это значит, что у компании не было времени исправить уязвимость до того, как она была обнаружена и использована, и что ей известно об «ограниченном числе клиентов», чьи устройства Ivanti Connect Secure были взломаны.
Ivanti сообщила, что в настоящее время доступен патч для Connect Secure, но патчи для Policy Secure и шлюзов ZTA — ни один из которых не подтвердил возможность использования — не будут выпущены до 21 января.
Компания сообщила, что также обнаружила вторую уязвимость, отслеживаемую как CVE-2025-0283, которая ещё не была использована.
Ivanti не сообщила, сколько её клиентов пострадали от взломов или кто стоит за вторжениями. Представители Ivanti не ответили на вопросы TechCrunch ко времени публикации.
Фирма по реагированию на инциденты Mandiant, обнаружившая уязвимость вместе с исследователями из Microsoft, сообщила в своём блоге, опубликованном поздно вечером в среду, что её исследователи наблюдали за использованием хакерами уязвимости Connect Secure нулевого дня ещё в середине декабря 2024 года.
Mandiant сообщила, что, хотя она не может приписать использование уязвимости конкретному субъекту угрозы, она подозревает группу кибершпионажа, связанную с Китаем, — отслеживаемую по обозначениям UNC5337 и UNC5221. Это тот же кластер активности группы угроз, который использовал два недостатка нулевого дня в Connect Secure в 2024 году для запуска массовых взломов клиентов Ivanti, говорится в сообщении Mandiant в блоге в среду.
Бен Харрис, генеральный директор исследовательской фирмы в области безопасности watchTowr Labs, сообщил, что компания столкнулась с «широким воздействием» в результате последнего сбоя VPN Ivanti и «работала со своими клиентами весь день, чтобы убедиться, что они в курсе».
Харрис добавил, что эта уязвимость вызывает серьёзную озабоченность, поскольку атаки имеют «все признаки использования продвинутой постоянной угрозы уязвимости нулевого дня против критически важного устройства», и призвал всех «отнестись к этому серьёзно».
Национальный центр кибербезопасности Великобритании сообщил в рекомендации, что он «расследует случаи активного использования уязвимостей, затрагивающих сети Великобритании». Американское агентство кибербезопасности CISA также добавило уязвимость в свой каталог известных уязвимостей.