- 19,453
- 40
- 8 Ноя 2022
Ivanti экстренно закрывает брешь в защите.
Ivanti выпустила обновления безопасности для устранения критической уязвимости удалённого выполнения кода (RCE) в сетевых шлюзах Connect Secure.
Ошибка Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 9.0) уже использовалась в кибер Для просмотра ссылки Войди или Зарегистрируйся как минимум с середины марта 2025 года. По и Для просмотра ссылки Войди или Зарегистрируйся Google и Mandiant, атаки связаны с китайской группировкой UNC5221, которая Для просмотра ссылки Войди или Зарегистрируйся Zero-Day в устройствах Ivanti.
Для просмотра ссылки Войдиили Зарегистрируйся представляет собой переполнение буфера в стеке (buffer overflow) и затрагивает устаревшие версии Pulse Connect Secure 9.1x, а также Ivanti Connect Secure до версии 22.7R2.6 включительно, Policy Secure и шлюзы Neurons for ZTA. Хотя изначально баг был классифицирован как неисправность без потенциальной угрозы, позже выяснилось, что он может быть использован для удалённого выполнения кода через сложные методы, не требующие аутентификации или участия пользователя.
Обновление было выпущено ещё 11 февраля 2025 года в составе версии 22.7R2.6. Однако на тот момент уязвимость не считалась опасной — ограничения по символам в буфере якобы не позволяли использовать её для атак. Только позднее Ivanti Для просмотра ссылки Войдиили Зарегистрируйся выяснить, что уязвимость можно обойти при определённых условиях, что и подтвердили зафиксированные инциденты эксплуатации.
Группировка UNC5221 Для просмотра ссылки Войдиили Зарегистрируйся подобные уязвимости в периферийных устройствах с 2023 года. В текущей кампании атакующие применяли новое вредоносное ПО: дроппер TRAILBLAZE, работающий только в памяти, пассивный бэкдор BRUSHFIRE и обновлённую версию SPAWN — целую экосистему инструментов вторжения.
Специалисты утверждают, что хакеры, вероятно, изучили исправление для уязвимости в ICS 22.7R2.6 и с помощью сложного процесса обнаружили, что можно использовать 22.7R2.5 и более ранние версии для удаленного выполнения кода.
На данный момент шлюзы Policy Secure и ZTA пока не были целями атак, хотя также подвержены уязвимости. Обновления для этих продуктов запланированы на 19 и 21 апреля соответственно. Ivanti подчеркивает, что в данных продуктах риск существенно снижен из-за особенностей архитектуры.
Для пользователей устройств, попавших под угрозу, Ivanti рекомендует незамедлительно обновиться до версии 22.7R2.6. Также рекомендуется использовать внешние инструменты для поиска возможных признаков компрометации. В случае обнаружения следов атаки следует выполнить сброс настроек до заводских и заново развернуть устройство на актуальной версии.
Ivanti выпустила обновления безопасности для устранения критической уязвимости удалённого выполнения кода (RCE) в сетевых шлюзах Connect Secure.
Ошибка Для просмотра ссылки Войди
Для просмотра ссылки Войди
Обновление было выпущено ещё 11 февраля 2025 года в составе версии 22.7R2.6. Однако на тот момент уязвимость не считалась опасной — ограничения по символам в буфере якобы не позволяли использовать её для атак. Только позднее Ivanti Для просмотра ссылки Войди
Группировка UNC5221 Для просмотра ссылки Войди
Специалисты утверждают, что хакеры, вероятно, изучили исправление для уязвимости в ICS 22.7R2.6 и с помощью сложного процесса обнаружили, что можно использовать 22.7R2.5 и более ранние версии для удаленного выполнения кода.
На данный момент шлюзы Policy Secure и ZTA пока не были целями атак, хотя также подвержены уязвимости. Обновления для этих продуктов запланированы на 19 и 21 апреля соответственно. Ivanti подчеркивает, что в данных продуктах риск существенно снижен из-за особенностей архитектуры.
Для пользователей устройств, попавших под угрозу, Ivanti рекомендует незамедлительно обновиться до версии 22.7R2.6. Также рекомендуется использовать внешние инструменты для поиска возможных признаков компрометации. В случае обнаружения следов атаки следует выполнить сброс настроек до заводских и заново развернуть устройство на актуальной версии.
- Источник новости
- www.securitylab.ru
