Последние атаки произошли через год после того, как группа угроз использовала пару уязвимостей нулевого дня в одном и том же продукте Ivanti.

Клиенты Ivanti столкнулись с новой уязвимостью нулевого дня, подозреваемой в связях с государством

Wirestock через Getty Images

Краткий обзор:

  • Федеральные кибервласти и исследователи предупреждают, что злоумышленники используют уязвимость нулевого дня в нескольких продуктах Ivanti, включая Ivanti Connect Secure.
  • Ivanti признала, что CVE-2025-0282 уже эксплуатировалась на момент раскрытия информации в среду, когда она выпустила рекомендацию и исправление для критической уязвимости переполнения буфера без аутентификации. Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2025-0282 в свой каталог известных эксплуатируемых уязвимостей в среду.
  • «Mandiant выявила эксплуатацию нулевого дня CVE-2025-0282 в дикой природе с середины декабря 2024 года», — заявила Mandiant в обзоре по угрозам в среду. «Успешная эксплуатация может привести к удаленному выполнению кода без аутентификации, что может привести к потенциальной компрометации сети жертвы».

Аналитика погружения:

Исследователи обеспокоены широкомасштабной эксплуатацией уязвимости нулевого дня, которая была обнаружена почти ровно через год после того, как группа угроз использовала пару уязвимостей нулевого дня в том же продукте Ivanti.

Предыдущие уязвимости нулевого дня, CVE-2023-46805 и CVE-2024-21887, активно эксплуатировались в течение нескольких месяцев, затронув несколько организаций, включая CISA. Федеральное агентство заявило, что две его системы были затронуты атаками, но данные не были украдены.

Mandiant, которая работает с Ivanti над мерами реагирования и восстановления, приписала часть вредоносного ПО, использованного при постэксплуатации CVE-2025-0282, группе угроз China-nexus, которую она идентифицирует как UNC5337. Mandiant подозревает, что группа является частью UNC5221, которая активно эксплуатировала предыдущую пару нулевых дней в устройствах Ivanti Connect Secure еще в январе 2024 года.

«Возможно, что за создание и развертывание этих различных семейств кодов отвечают несколько субъектов, но на момент публикации этого отчета у нас недостаточно данных для точной оценки количества субъектов угроз, нацеленных на CVE-2025-0282», — заявили исследователи Mandiant в кратком обзоре угроз.

Послеэксплуатационные действия, наблюдаемые Mandiant, включают горизонтальное перемещение по средам жертв, удаление записей в журнале, сетевое туннелирование и сбор учетных данных. Злоумышленники также обманули некоторых специалистов по сетевой безопасности, которые пытались исправить системы.

«Злоумышленник реализовал новую технику, чтобы обмануть администраторов, заставив их думать, что они успешно обновили систему. Злоумышленник развернул вредоносное ПО, которое блокирует законные обновления системы, одновременно отображая поддельную шкалу хода выполнения обновления», — сказал технический директор Mandiant Consulting Чарльз Кармакал в своем сообщении на LinkedIn в среду.

«Это создает убедительный фасад успешного обновления, когда на самом деле вредоносное ПО молча предотвращает фактическое обновление. Некоторые организации могут предположить, что они устранили уязвимость, хотя на самом деле это не так», — сказал Кармакал.

CISA также выпустило в среду предупреждение, призывающее организации отслеживать вредоносную активность на экземплярах Ivanti и сообщать о результатах в федеральное агентство.

«Нам известно об ограниченном количестве клиентских устройств Ivanti Connect Secure, которые были использованы с помощью CVE-2025-0282 на момент раскрытия информации», — сказал Иванти в сообщении по безопасности. «Нам не известно об эксплуатации этих CVE в Ivanti Policy Secure или Neurons для шлюзов ZTA».

В прошлом году клиенты Ivanti столкнулись с многочисленными случаями активной эксплуатации CVE в различных продуктах, включая Ivanti Cloud Service Appliance и Ivanti Endpoint Manager.