12 января 2024 года компания Mandiant опубликовала в своем блоге сообщение о двух уязвимостях нулевого дня, CVE-2023-46805 и CVE-2024-21887, затрагивающих устройства Ivanti Connect Secure VPN (CS, ранее Pulse Secure) и Ivanti Policy Secure (PS). 31 января 2024 года Ivanti раскрыла две дополнительные уязвимости, затрагивающие устройства CS и PS, CVE-2024-21888 и CVE-2024-21893.
Уязвимости позволяют неаутентифицированному угрожающему субъекту выполнять произвольные команды на устройстве с повышенными привилегиями. Как сообщалось ранее, Mandiant обнаружила эксплуатацию этих уязвимостей в нулевой день, начиная с 3 декабря 2023 года, предполагаемым участником шпионажа со стороны Китая, отслеживаемым в настоящее время как UNC5221.
Mandiant выявила широкую активность по эксплуатации после раскрытия этих двух уязвимостей, как со стороны UNC5221, так и со стороны других некатегорированных групп угроз. По оценкам Mandiant, значительная часть активности после раскрытия уязвимостей была осуществлена с помощью автоматизированных методов.
Indicators of Compromise
IPv4
- 146.0.228.66
- 159.65.130.146
- 173.220.106.166
- 186.179.39.235
- 45.61.136.14
- 50.215.39.49
- 8.137.112.245
- 91.92.254.14
Domains
- api.d-n-s.name
- areekaweb.com
- clickcom.click
- clicko.click
- cpanel.netbar.org
- duorhytm.fun
- ehangmun.com
- entraide-internationale.fr
- line-api.com
- miltonhouse.nl
- secure-cama.com
- symantke.com
MD5
- 2ec505088b942c234f39a37188e80d7a
- 3045f5b3d355a9ab26ab6f44cc831a83
- 3d97f55a03ceb4f71671aa2ecf5b24e9
- 465600cece80861497e8c1c86a07a23e
- 8eb042da6ba683ef1bae460af103cc44
- a739bd4c2b9f3679f43579711448786f
- a81813f70151a022ea1065b7f4d6b5ab
- d0c7a334a4d9dcd3c6335ae13bee59ea
- e8489983d73ed30a4240a14b1f161254