Dostawca zabezpieczeń Ivanti po raz kolejny znalazła się w centrum rosnącej serii naruszeń po tym, jak wyszło na jaw, iż dwie świeżo ujawnione luki w wielu jej produktach są prawdopodobnie wykorzystywane przez wspierane przez Chiny ugrupowania cyberprzestępcze.
Luki, o których mowa – oznaczone jako CVE-2025-0282 i CVE-2025-0283 – wpływają na produkty Ivanti Connect Secure, Policy Secure i Neurons for ZTA gateway.
Wykorzystanie pierwszego umożliwia atakującemu uzyskanie nieuwierzytelnionego zdalnego wykonania kodu (RCE), natomiast wykorzystanie drugiego umożliwia lokalnie uwierzytelnionemu atakującemu zwiększenie swoich uprawnień.
CVE-2025-0282 jest oficjalnie dniem zerowym i został już dodany do Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) Znane wykorzystywane luki (KEV) katalog. W Wielkiej Brytanii rzecznik prasowy Narodowe Centrum Cyberbezpieczeństwa (NCSC) powiedział: „NCSC pracuje nad pełnym zrozumieniem wpływu Wielkiej Brytanii i bada przypadki aktywnego wykorzystania sieci wpływających na brytyjskie sieci”.
Według Ivanti w prawdziwym świecie, według stanu na czwartek, 9 stycznia 2025 r., ograniczona liczba użytkowników urządzeń Connect Secure została dotknięta problemem CVE-2025-0282. Jednakże nie miało to wpływu na żadnych użytkowników bramek Policy Secure ani ZTA, a ponieważ z dnia 9 stycznia nie było jednoznacznych dowodów na to, iż CVE-2025-0283 w ogóle został wykorzystany.
Łatka jest teraz dostępna dla obu CVE w Connect Secure, ale na razie obie pozostają niezałatane w Policy Secure i Neurons dla ZTA, a poprawka spodziewana jest dopiero 21 stycznia.
– powiedział rzecznik Ivanti: „Reagując na to zagrożenie, przez cały czas ściśle współpracujemy z klientami, których to dotyczy, zewnętrznymi partnerami zajmującymi się bezpieczeństwem i organami ścigania. Zdecydowanie zalecamy wszystkim klientom ścisłe monitorowanie wewnętrznych i zewnętrznych technologii informacyjno-komunikacyjnych w ramach solidnego i wielowarstwowego podejścia do bezpieczeństwa cybernetycznego w celu zapewnienia integralności i bezpieczeństwa całej infrastruktury sieciowej.
„Udostępniliśmy dodatkowe zasoby i zespoły wsparcia, aby pomóc klientom we wdrażaniu poprawki i rozwiązaniu wszelkich problemów.
„Dziękujemy naszym klientom i partnerom zajmującym się bezpieczeństwem za ich zaangażowanie i wsparcie, które umożliwiło nam szybkie wykrycie tego problemu i reakcję na niego” – dodali. „Nadal angażujemy się w ciągłe doskonalenie naszych produktów i procesów poprzez współpracę i przejrzystość.
„Ten incydent przypomina, jak ważne jest ciągłe monitorowanie oraz proaktywne i wielowarstwowe środki bezpieczeństwa, szczególnie w przypadku urządzeń brzegowych (takich jak VPN), które zapewniają podstawową usługę jako początkowy punkt dostępu do sieci korporacyjnej – ale są również bardzo atrakcyjne atakującym.”
Najnowsze połączenie do Chin
Według Mandianta z Google Cloudktóra współpracowała z firmą Ivanti nad dochodzeniem i naprawą, co najmniej raz podmiotowi zagrażającemu udało się wykorzystać luki do wdrożenia elementów ekosystemu złośliwego systemu SPAWN, w tym SPAWNMOLE, narzędzia tunelującego i SPAWNSNAIL, backdoora SSH.
Badacze firmy Mandiant stwierdzili, iż wykorzystanie tego szkodliwego systemu w następstwie atakowania produktów Ivanti zostało przypisane klastrowi aktywności zagrożeń UNC5337, który jest powiązany z UNC5221, podejrzaną grupą szpiegowską powiązaną z Chinami, o której wiadomo, iż wykorzystywała inne luki w zabezpieczeniach Ivanti na początku 2024 r.
Pisanie na LinkedIndyrektor ds. technologii firmy Mandiant, Charles Carmakal, opisał najnowszą kampanię UNC5221 jako rozwijającą się i wciąż analizowaną oraz zasugerował, iż w mieszance mogą znajdować się inne podmioty zagrażające. Opisując scenariusz „potencjalnej masowej eksploatacji”, nalegał, aby użytkownicy Ivanti potraktowali priorytetowo natychmiastowe zastosowanie nowych poprawek.
Ostrzegł jednak, iż proces ten może nie być pozbawiony ryzyka. „Podmiot zagrażający wdrożył nowatorską technikę, aby oszukać administratorów, aby pomyśleli, iż pomyślnie uaktualnili system” – napisał Carmakal.
„Aktor zagrożenia wdrożył złośliwe oprogramowanie, które blokuje legalne aktualizacje systemu, jednocześnie wyświetlając fałszywy pasek postępu aktualizacji. Tworzy to przekonującą fasadę udanej aktualizacji, podczas gdy w rzeczywistości złośliwe oprogramowanie po cichu uniemożliwia faktyczną aktualizację. Niektóre organizacje mogą zakładać, iż zajęły się tą luką, choć w rzeczywistości tak nie było”.
Dodał, iż napastnicy mogli także bawić się wbudowanym w oprogramowanie Ivanti narzędziem do sprawdzania integralności, zaprojektowanym, aby pomóc użytkownikom w identyfikowaniu luk, aby ukryć dowody obecności szkodliwego oprogramowania.
„Potraktuj to poważnie”
Benjamin Harris, dyrektor generalny Strażnicaspecjalista ds. zarządzania powierzchnią ataku, nalegał, aby użytkownicy Ivanti zwracali szczególną uwagę na najnowsze osiągnięcia.
„Nasze obawy są znaczące, ponieważ ma to wszelkie cechy charakterystyczne użycia APT typu zero-day wobec urządzenia o znaczeniu krytycznym. Przypomina to również zachowanie i dramatyzm produktów Ivanti, które jako branża widzieliśmy w styczniu 2024 r. i możemy mieć tylko nadzieję, iż firma Ivanti wyciągnęła wnioski z tego doświadczenia w zakresie skutecznego reagowania” – powiedział.
Harris dodał, iż dodatkowym problemem powinien być brak poprawek w całym zestawie produktów, których dotyczy luka.
„Użytkownicy Ivanti Connect Secure mają dostępną łatkę, ale – raz jeszcze – poprawki dla innych urządzeń, których dotyczy problem, takich jak Ivanti Policy Secure i Neurons for ZTA gateways, czekają na łatkę przez trzy tygodnie. Użytkownicy tych produktów nie powinni się wahać – urządzenia te należy wyłączyć w trybie offline do czasu udostępnienia poprawek” – powiedział.
„Klient WatchTowr czy nie – nalegamy, aby wszyscy potraktowali tę sprawę poważnie. W takich sytuacjach rzuć umowy SLA dotyczące podatności na wiatr, nie mają one już zastosowania, a różnica między szybką reakcją a reakcją w ciągu kilku godzin może decydować o tym, czy Twoja organizacja zadzwoni do Twojego cyberubezpieczyciela, czy nie.
