10 января 2024 года компания Ivanti раскрыла две уязвимости, CVE-2023-46805 и CVE-2024-21887, затрагивающие устройства Ivanti Connect Secure VPN ("CS", ранее Pulse Secure) и Ivanti Policy Secure ("PS"). Успешная эксплуатация может привести к обходу аутентификации и внедрению команд, что приведет к дальнейшей компрометации сети жертвы. Mandiant обнаружила использование этих уязвимостей "нулевого дня" в дикой природе, начиная с декабря 2023 года, предполагаемым участником шпионских угроз, который в настоящее время отслеживается как UNC5221.
Mandiant сообщает о пяти семействах вредоносных программ, связанных с эксплуатацией устройств CS и PS. Эти семейства позволяют злоумышленникам обходить аутентификацию и предоставлять бэкдор-доступ к этим устройствам.
Indicators of Compromise
Domains
- symantke.com
MD5
- 3d97f55a03ceb4f71671aa2ecf5b24e9
- 677c1aa6e2503b56fe13e1568a814754
- 6de651357a15efd01db4e658249d4981
- d0c7a334a4d9dcd3c6335ae13bee59ea