8 января компания Ivanti сообщила о двух уязвимостях (CVE-2025-0282 и CVE-2025-0283) в своих продуктах Connect Secure, Policy Secure и шлюзе ZTA. Уязвимость CVE-2025-0282 позволяет удаленному неавторизованному злоумышленнику получить удаленный доступ к устройству и выполнить код, а уязвимость CVE-2025-0283 позволяет локальному аутентифицированному злоумышленнику повысить свои привилегии. Обе уязвимости затрагивают определенные версии продуктов Ivanti и имеют высокие баллы CVSS.
Описание
Компания Mandiant обнародовала данные об атаках с использованием уязвимости CVE-2025-0282. Watchtowr Labs представила анализ уязвимости, а Watchtowr опубликовала проблему и доказательство концепции. Клиенты Palo Alto Networks могут получить защиту от этих уязвимостей в своих продуктах и услугах. Cortex Xpanse может выявить незащищенные продукты Ivanti в общедоступном Интернете, а Palo Alto Networks рекомендует применить обновления к уязвимым устройствам.
Уязвимость CVE-2025-0282 позволяет злоумышленникам получить доступ к внутренней сети после успешной атаки на устройства Ivanti. Уязвимость CVE-2025-0283 позволяет злоумышленникам повысить свои привилегии. На данный момент нет информации о злоумышленниках, использующих уязвимость CVE-2025-0283.
Есть ограниченные сообщения о злоумышленниках, использующих уязвимость CVE-2025-0282 для удаленного выполнения кода и получения доступа к системам. Есть определенные инструменты, тактики и процедуры, связанные с атаками, но еще не установлено, принадлежат ли эти действия одной группе злоумышленников.
Атаки с использованием уязвимости CVE-2025-0282 состоят из четырех фаз, включая перехват доступа, сбор учетных данных, уклонение от защиты и устойчивость. Наблюдения показывают, что злоумышленники потенциально использовали уязвимость нулевого дня CVE-2025-0282 для получения доступа к VPN-устройствам Ivanti.
Итак, компания Ivanti обнародовала информацию о двух уязвимостях в своих продуктах, а другие компании и исследователи представили анализ и рекомендации по безопасности для защиты от этих уязвимостей. Пало Альто Нетворкс предлагает защитные продукты и услуги, а Cortex Xpanse и команда Unit 42 Incident Response могут помочь клиентам в обнаружении и предотвращении атак. Необходимо принять соответствующие меры безопасности и обновить затронутые устройства Ivanti.
Indicators of Compromise
IPv4
- 168.100.8.144
- 185.195.71.244
- 185.219.141.95
- 193.149.180.128
SHA256
- 1dc0a3a5904ec35103538a018ef069fbe95b0a3c26cb0ff9ba0d1c268d1aaf98
- 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104
- 366635c00b8e6f749a4d948574a0f1e7b4c842ca443176de27af45debbc14f71
- 43363aa0d1fdab0174d94bd5a9e16d47cbb08b4b089c5a12e370133ab8e640a6
- 7144b8c77d261985205ae2621eb6242f43d6244e18b8d01d05048337346b6efd
- 723711ccbb3eaf1daea3d5b00aa6aaee48a359be395d9500d8a56609ec5238e9
- 75a3d53c1d63ecb338d4b2d6f5b3d980b0caceb77808ed81ab73b49138cc0a26
- a6b24fcef2e018c9ef634aa21e26a74ff94ea508a8b132fad38d48f5ab10fcd3
- aae291ac5767cfe93676dacb67ba50c98d8fd520f5821fb050fd63e38b000b18
- f9ca95119b32a18491e3cc28c7020ee00f6e7a45ae089c876d87252e754e5a2e