Массовая эксплуатация уязвимостей Ivanti вызвала панику у федеральных агентств.
ИБ-компания Censys обнаружила, что хакеры, предположительно работающие на китайское правительство, массово используют критические уязвимости в виртуальных частных сетях (VPN) компании Ivanti, получая полный контроль над устройствами.
По Для просмотра ссылки Войдиили Зарегистрируйся Censys, из 26 тысяч устройств, подключенных к интернету, 492 VPN Ivanti оставались зараженными в разных странах мира, включая США (121 устройство), Германию (26), Южную Корею (24) и Китай (21). Наибольшее количество зараженных устройств обнаружено в облачном сервисе Microsoft (13), за ним следуют облачные среды Amazon (12) и Comcast (10).
Исследователи Censys провели вторичное сканирование серверов Ivanti Connect Secure и обнаружили 412 уникальных хостов с бэкдором, а также 22 различных варианта вредоносного ПО, что может указывать на множество злоумышленников или на одного, меняющего свои тактики.
Речь идет о двух уязвимостях нулевого дня ( zero-day ) в веб-компонентах Ivanti Connect Secure и Ivanti Policy Secure всех поддерживаемых версий (9.x, 22.x):
Атакующие используют эксплойты для установки множества бэкдоров, которые собирают как можно больше учетных данных различных сотрудников и устройств в зараженной сети, а также позволяют перемещаться по сети. Несмотря на использование вредоносного ПО, киберпреступники в основном используют подход Living off the Land (LotL), который злоупотребляет легитимным ПО и инструментами, избегая обнаружения.
По словам Censys, доказательства компании свидетельствуют о том, что киберпреступники мотивированы целями шпионажа. Эта теория совпадает с Для просмотра ссылки Войдиили Зарегистрируйся компаний Volexity и Mandiant . Исследователи Volexity предполагают, что угроза исходит от «китайского государственного злоумышленника» UTA0178. Mandiant, которая отслеживает эту группу как UNC5221, сообщает, что методы группы указывают на усовершенствованную постоянную угрозу (Advanced Persistent Threat, APT ).
Все федеральные агентства получили указание принять меры для предотвращения эксплуатации уязвимостей. Ivanti еще не выпустила исправления для устранения уязвимостей. Пока обновления не поступили, CISA и ИБ-компании Для просмотра ссылки Войдиили Зарегистрируйся затронутым пользователям следовать Для просмотра ссылки Войди или Зарегистрируйся Ivanti по смягчению последствий и восстановлению систем. По словам компании, исправления будут выпускаться постепенно: первая версия будет доступна клиентам 22 января, а окончательная версия — 19 февраля.
Массовые взломы начались 11 января, на следующий день после того, как Ivanti раскрыла уязвимости. Ошибки особенно опасны из-за их влияния, широкого распространения систем и сложности смягчения последствий, особенно учитывая отсутствие официального исправления от производителя.
Подробные описания поведения вредоносного ПО и методы обнаружения заражений предоставлены в исследованиях Volexity и Mandiant. Учитывая серьезность уязвимостей и последствия их эксплуатации, все пользователи затронутых продуктов должны как можно скорее принять меры по смягчению угрозы, даже если это потребует временного приостановления использования VPN.
ИБ-компания Censys обнаружила, что хакеры, предположительно работающие на китайское правительство, массово используют критические уязвимости в виртуальных частных сетях (VPN) компании Ivanti, получая полный контроль над устройствами.
По Для просмотра ссылки Войди
Исследователи Censys провели вторичное сканирование серверов Ivanti Connect Secure и обнаружили 412 уникальных хостов с бэкдором, а также 22 различных варианта вредоносного ПО, что может указывать на множество злоумышленников или на одного, меняющего свои тактики.
Речь идет о двух уязвимостях нулевого дня ( zero-day ) в веб-компонентах Ivanti Connect Secure и Ivanti Policy Secure всех поддерживаемых версий (9.x, 22.x):
- Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 8.2): уязвимость обхода аутентификации – позволяет удаленному злоумышленнику получить доступ к ограниченным ресурсам, минуя контрольные проверки; - Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 9.1): уязвимость внедрения команд – позволяет аутентифицированному хакеру отправлять специально созданные запросы и выполнять произвольные команды на устройстве.
Атакующие используют эксплойты для установки множества бэкдоров, которые собирают как можно больше учетных данных различных сотрудников и устройств в зараженной сети, а также позволяют перемещаться по сети. Несмотря на использование вредоносного ПО, киберпреступники в основном используют подход Living off the Land (LotL), который злоупотребляет легитимным ПО и инструментами, избегая обнаружения.
По словам Censys, доказательства компании свидетельствуют о том, что киберпреступники мотивированы целями шпионажа. Эта теория совпадает с Для просмотра ссылки Войди
Все федеральные агентства получили указание принять меры для предотвращения эксплуатации уязвимостей. Ivanti еще не выпустила исправления для устранения уязвимостей. Пока обновления не поступили, CISA и ИБ-компании Для просмотра ссылки Войди
Массовые взломы начались 11 января, на следующий день после того, как Ivanti раскрыла уязвимости. Ошибки особенно опасны из-за их влияния, широкого распространения систем и сложности смягчения последствий, особенно учитывая отсутствие официального исправления от производителя.
Подробные описания поведения вредоносного ПО и методы обнаружения заражений предоставлены в исследованиях Volexity и Mandiant. Учитывая серьезность уязвимостей и последствия их эксплуатации, все пользователи затронутых продуктов должны как можно скорее принять меры по смягчению угрозы, даже если это потребует временного приостановления использования VPN.
- Источник новости
- www.securitylab.ru