Угроза для облачных сервисов: хакеры активно эксплуатируют уязвимости в Ivanti CSA

Проблема затрагивает версии Ivanti CSA 4.6x до 519, а также версию 5.0.1 и ниже. Эксперты отмечают, что хакеры комбинируют несколько уязвимостей, формируя цепочки атак, что делает их действия особенно опасными. В частности, речь идет о таких уязвимостях, как CVE-2024-8190, CVE-2024-8963, CVE-2024-9379 и CVE-2024-9380. Каждая из них открывает перед злоумышленниками различные возможности: от обхода аутентификации до полного контроля над системой через SQL-инъекции и удаленное выполнение команд.

По информации CISA, атаки уже происходят в реальном времени, и некоторые из них были зафиксированы как эксплуатация уязвимостей нулевого дня. Это означает, что атаки начались до того, как разработчики успели выпустить соответствующие патчи. В связи с этим ведомства настоятельно рекомендуют компаниям немедленно обновить свои системы до последней версии Ivanti CSA.

Особое внимание уделяется версии 4.6, которая больше не поддерживается разработчиками. CISA и FBI подчеркивают, что использование устаревшего ПО значительно увеличивает риски, так как обновления безопасности для него не предоставляются. Организациям, которые до сих пор работают на этой версии, рекомендуется как можно скорее перейти на актуальную платформу.

Но даже после обновления специалисты советуют не расслабляться. Вредоносная активность могла уже проникнуть в системы, поэтому критически важно провести тщательный аудит сетей на предмет компрометации. Для этого CISA предоставляет детальные индикаторы компрометации (IOC), которые помогают выявить следы взлома. Также рекомендуется активировать расширенный мониторинг сетевой активности и усилить защитные механизмы, включая многофакторную аутентификацию и сегментацию сетей.

Компания Ivanti, со своей стороны, выпустила рекомендации по устранению уязвимостей и минимизации рисков. Однако эксперты отмечают, что в условиях активных атак просто следовать инструкциям разработчика недостаточно. Необходим комплексный подход, включающий не только технические меры, но и повышение осведомленности сотрудников о возможных фишинговых атаках и социальной инженерии.

В целом ситуация с уязвимостями в Ivanti CSA демонстрирует, насколько важно своевременное обновление ПО и постоянный мониторинг угроз. Облачные сервисы, несмотря на их удобство, остаются одной из главных мишеней для киберпреступников, и компании должны быть готовы к оперативному реагированию на новые вызовы. Игнорирование подобных предупреждений может привести к серьезным последствиям, включая утечку конфиденциальных данных, финансовые потери и репутационный ущерб.

IPv4

• 104.168.133.228
• 104.28.240.123
• 107.173.89.16
• 108.174.199.200
• 134.195.90.71
• 136.144.17.133
• 136.144.17.145
• 142.11.217.3
• 142.171.217.195
• 149.154.167.41
• 149.154.176.41
• 154.213.185.230
• 154.64.226.166
• 155.138.215.144
• 156.234.193.18
• 163.5.171.49
• 185.199.103.196
• 185.220.69.83
• 185.40.4.38
• 185.40.4.95
• 188.172.229.15
• 192.42.116.210
• 203.160.72.174
• 203.160.86.69
• 205.169.39.11
• 206.189.156.69
• 208.105.190.170
• 216.131.75.53
• 216.73.162.56
• 23.236.66.97
• 38.207.159.76
• 45.141.215.17
• 64.176.49.160
• 67.217.228.83
• 82.197.182.161
• 89.187.178.179
• 95.161.76.100
• 98.101.25.30

Domains

• book.hacktricks.xyz
• cdn.private-api.us.kg
• cri07nnrg958pkh6qhk0977u8c83jog6t.oast.fun
• cri07nnrg958pkh6qhk0yrgy1e76p1od6.oast.fun
• gg.oyr2ohrm.eyes.sh
• ggg.oyr2ohrm.eyes.sh
• gggg.oyr2ohrm.eyes.sh
• ip.sb
• txt.xj.hk

URLs

• 108.174.199.200/Xa27efd2.tmp
• 173.243.138.76/fdsupdate
• 208.184.237.75/fdsupdate
• 45.33.101.53/log
• 45.33.101.53/log2
• 98.98.54.209/a.sh
• http://ip.sb
• https://file.io/1zqvMYY1dpkk
• https://file.io/E50vtqmJP5aa
• https://file.io/frdZ9L18R7Nx
• https://file.io/RBKuU8gicWt
• https://pan.xj.hk/d/
• https://pan.xj.hk/d/6401646e701f5f47518ecef48a308a36/redis

MD5

• 061e5946c9595e560d64d5a8c65be49e
• 1b20e9310ca815f9e2bd366fb94e147f
• 30f57e14596f1bcad7cc4284d1af4684
• 4895e11d30aa070fe45243a4e8b0e9dd
• 53c5b7d124f13039eb62409e1ec2089d
• 60d5648d35bacf5c7aa713b2a0d267d3
• 62a611f0f1a418876b11c9df3b56885b
• 698a752ec1ca43237cb1dc791700afde
• 78cc672218949a9ec87407ad3bcb5db6
• 86b62ffd33597fd635e01b95f08bb996
• a50660fb31df96b3328640fdfbeea755
• aa69300617faab4eb39b789ebfeb5abe
• ae51c891d2e895b5ca919d14edd42c26
• c2becc553b96ba27d60265d07ec3bd6c
• c7d20ca6fe596009afaeb725fec8635f
• c894f55c8fa9d92e2dd2c78172cff745
• cacc30e2a5b2683e19e45dc4f191cebc
• d13f71e51b38ffef6b9dc8efbed27615
• d88bfac2b43509abdc70308bef75e2a6
• dd975310201079cacd4cde6facab8c1d
• e09fef2f502a41c199046219a6584e8d
• f7f81ae880a17975f60e1e0fe1a4048b
• f82847bccb621e6822a3947bc9ce9621

SHA1

• 0f024f8487a9b908a8e81db7f6b4d85b70bbc212
• 20fecae6d41cce7a1f74313a3aeb97f7fa26895f
• 25b79b4984a567b501e71fb3c43530a9b65d1c6e
• a62af4ac233d914a25e79ec0705e2a187ebd7567
• cb6be7d4e741864817bd965ea4652364cccc9045

SHA256

• 3d0def685838f95a056d4fb5267b17ec3cc1c7a75fae0e4526b305cb964a1b88
• 4b16ea1b1273f8746cf399c71bfc1f5bff7378b5414b4ea044c55e0ee08c89d3
• 7cc4ed7bfd2a6f56ee1427a951bac36ad4e4e23fb66002d2befd2305e2d01bf3
• dcd04c0ac081fff41021d08cd882bcf70b696aa7824361ef23849e26f395148b
• e35cf026057a3729387b7ecfb213ae62a611f0f1a418876b11c9df3b56885bed