Darktrace, компания специализирующаяся на обнаружении угроз, раньше возможности обнаружения нарушений системы Ivanti раскрыла использование двух критических уязвимостей.
Описание
В ежегодном отчете Darktrace за 2024 год указано, что использование уязвимостей и уязвимых мест в граничной инфраструктуре является серьезной проблемой и привлекает злоумышленников. В январе 2024 года команда Darktrace провела исследование и обнаружила эксплуатацию уязвимостей нулевого дня в продуктах Ivanti Connect Secure (CS) и Ivanti Policy Secure (PS). Две этих уязвимости позволяли осуществлять удаленное выполнение кода без аутентификации на уязвимых системах Ivanti.
В январе 2025 года были раскрыты две новые уязвимости в Ivanti CS, PS и Zero Trust Access (ZTA). Уязвимость CVE-2025-0282 представляет собой уязвимость переполнения буфера на основе стека, которая может привести к неаутентифицированному удаленному выполнению кода. Уязвимость CVE-2025-0283 в сочетании с CVE-2025-0282 может позволить локальному злоумышленнику повысить привилегии на пораженной системе. В своем заявлении Ivanti отмечает, что на текущий момент неизвестно о какой-либо эксплуатации уязвимости CVE-2025-0283.
Команда исследования угроз Darktrace обнаружила подозрительную активность в двух клиентских сетях, которая указывала на успешную эксплуатацию уязвимости CVE-2025-0282 еще в декабре 2024 года, задолго до ее раскрытия компанией Ivanti. В ходе расследования были обнаружены признаки входа в сеть через SMB с использованием привилегированных учетных данных и аутентификации через RDP. Также была обнаружена запись на ресурс C$, где был найден вероятный вредоносный файл 'DeElevate64.exe'. Кроме того, было замечено большое количество отказов входа по SMB с использованием учетной записи 'svc_counteract-ext', исходящее сканирование сети и аномальная активность ITaskScheduler и WMI.
Indicators of Compromise
IPv4
- 104.238.130.185
URLs
- http://104.238.130.185/DeElevate64.exe
- http://104.238.130.185/DeElevator64.dll
