Американский гигант программного обеспечения Ivanti предупредил, что уязвимость нулевого дня в его широко используемом корпоративном VPN-устройстве была использована для компрометации сетей его корпоративных клиентов.
Иванти заявил в среду, что уязвимость с критическим рейтингом, отслеживаемая как CVE-2025-0282, может быть использована без какой-либо аутентификации для удаленной установки вредоносного кода в продукты Ivanti Connect Secure, Policy Secure и ZTA Gateways. Ivanti заявляет, что ее VPN-решение для удаленного доступа Connect Secure является «наиболее широко используемым SSL VPN в организациях любого размера во всех основных отраслях».
Это последняя использованная уязвимость безопасности для продуктов Ivanti за последние годы. В прошлом году производитель технологий пообещал пересмотреть свои процессы обеспечения безопасности после того, как хакеры выявили уязвимости в нескольких его продуктах с целью проведения массовых взломов против его клиентов.
Компания заявила, что ей стало известно о последней уязвимости после того, как ее инструмент Ivanti Integrity Checker Tool (ICT) обнаружил вредоносную активность на некоторых клиентских устройствах.
В консультативном сообщении, опубликованном в среду, Иванти подтвердил, что злоумышленники активно использовали CVE-2025-0282 «как нулевого дня», что означает, что у компании не было времени исправить уязвимость до того, как она была обнаружена и использована, и что она была известно об «ограниченном числе клиентов», чьи устройства Ivanti Connect Secure были взломаны.
Иванти сообщил, что в настоящее время доступен патч для Connect Secure, но патчи для Policy Secure и ZTA Gateways, ни один из которых не подтвердил возможность использования уязвимостей, не будут выпущены до 21 января.
Компания заявила, что также обнаружила вторую уязвимость, обозначенную как CVE-2025-0283, которая еще не была использована.
Ivanti не сообщила, сколько ее клиентов пострадало от взломов и кто стоит за вторжениями. Представители Ivanti на момент публикации не ответили на вопросы TechCrunch.
Компания по реагированию на инциденты Mandiant, которая обнаружила уязвимость вместе с исследователями из Microsoft, сообщила в сообщении в блоге, опубликованном поздно вечером в среду, что ее исследователи наблюдали, как хакеры использовали систему нулевого дня Connect Secure еще в середине декабря 2024 года.
В электронном письме TechCrunch компания Mandiant заявила, что, хотя она не может приписать эксплуатацию конкретному злоумышленнику, она подозревает связанную с Китаем группу кибершпионажа, отслеживаемую по ее обозначениям UNC5337 и UNC5221. Это тот же кластер группировок угроз, которые использовали две уязвимости нулевого дня в Connect Secure в 2024 году для массовых взломов клиентов Ivanti, сообщил Mandiant в своем блоге в среду.
Бен Харрис, генеральный директор исследовательской фирмы по безопасности watchTowr Labs, сообщил TechCrunch по электронной почте, что компания увидела «широкомасштабное воздействие» в результате последней уязвимости Ivanti VPN и «весь день работала с клиентами, чтобы убедиться, что они в курсе ».
Харрис добавил, что эта уязвимость вызывает серьезную обеспокоенность, поскольку атаки имеют «все признаки использования (продвинутой постоянной угрозы) использования нулевого дня против критически важного устройства», и призвал всех «отнеситесь к этому серьезно», — сказал Харрис. сказал.
Национальный центр кибербезопасности Великобритании заявил в своем сообщении, что «расследует случаи активной эксплуатации, затрагивающей сети Великобритании». Американское агентство кибербезопасности CISA также добавило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей.
