Охотники за угрозами находятся в состоянии повышенной готовности, поскольку 900 экземпляров Ivanti Connect Secure остаются неисправленными и уязвимыми для эксплуатации, согласно Shadowserver.

Уязвимость нулевого дня Ivanti заставляет исследователей биться быстрее

Getty Plus через Getty Images

Охотники за угрозами пытаются определить масштаб ущерба и потенциальное воздействие критической уязвимости нулевого дня, которая затрагивает трио продуктов Ivanti, включая устройства Ivanti Connect Secure VPN.

Сканирование Shadowserver выявило более 900 неисправленных экземпляров Ivanti Connect Secure в воскресенье и сообщило, что устройства, вероятно, уязвимы для эксплуатации. Количество неисправленных и уязвимых экземпляров, обнаруженных сканированием Shadowserver, снизилось с более чем 2000 в четверг.

Некоммерческой организации, которая анализирует и делится вредоносной деятельностью с более чем 200 национальными группами реагирования на инциденты компьютерной безопасности, охватывающими 175 стран, было предложено не раскрывать, откуда она знает, что эти инциденты не были исправлены, но до сих пор не получила ни одного ложного положительного ответа, сообщил генеральный директор Shadowserver Петр Киевски изданию Cybersecurity Dive по электронной почте в пятницу.

Исследователи особенно обеспокоены широко распространенной эксплуатацией уязвимости нулевого дня из-за предыдущих кибератак, связанных с дефектами программного обеспечения в продуктах Ivanti.

«Неудивительно, что мотивированная группа злоумышленников смогла найти новый вектор атаки в популярной технологии, которая обычно находится в уязвимом месте в среде организаций, независимо от конкретного поставщика», — сообщила по электронной почте Кейтлин Кондон, директор по анализу уязвимостей в Rapid7.

Критическая неаутентифицированная уязвимость переполнения стека, CVE-2025-0282, была обнаружена почти ровно через год после того, как группа угроз использовала пару отдельных уязвимостей нулевого дня — CVE-2023-46805 и CVE-2024-21887 — в одном и том же продукте Ivanti.

Ivanti Connect Secure — единственный известный продукт, затронутый активной эксплуатацией новой уязвимости нулевого дня, но CVE-2025-0282 также затрагивает шлюзы Ivanti Policy Secure и Ivanti Neurons для ZTA.

Ivanti заявила, что не видела доказательств активной эксплуатации CVE-2025-0282 в шлюзах Ivanti Policy Secure или Neurons для ZTA и планирует выпустить исправление для этих продуктов 21 января.

Компания также обнаружила уязвимость переполнения буфера стека высокой степени опасности CVE-2025-0283, затрагивающую те же три продукта Ivanti. «У нас нет никаких признаков того, что CVE-2025-0283 эксплуатируется или связана с CVE-2025-0282», — заявила Ivanti в своем сообщении о безопасности на форуме сообщества.

Что происходит с новой уязвимостью нулевого дня

Время реагирования и усилий по восстановлению Ivanti, а также окно возможностей для групп угроз провести активную эксплуатацию до публичного раскрытия информации, имеют важное значение.

Инструмент проверки целостности Ivanti выявил активную эксплуатацию CVE-2025-0282 в тот же день, когда это произошло, сообщил представитель компании в пятницу по электронной почте.

Новая уязвимость нулевого дня активно эксплуатировалась в течение нескольких недель, прежде чем Ivanti выпустила исправление для Ivanti Connect Secure и публично раскрыла уязвимость в среду. Mandiant выявила активную эксплуатацию уязвимости нулевого дня в дикой природе, начавшуюся в середине декабря 2024 года, сообщила фирма по реагированию на инциденты в кратком обзоре по угрозам в среду.

«Ivanti тесно сотрудничала со всеми известными пострадавшими клиентами до раскрытия информации, а также совместно с ведущими экспертами по безопасности Mandiant и Microsoft Threat Intelligence, чтобы отреагировать на эту угрозу и выпустить исправление», — сказал представитель Ivanti. «На сегодняшний день эксплуатация была ограниченной».

Ivanti, выпустившая исправление для CVE в Ivanti Connect Secure на момент раскрытия информации, не сообщила, сколько клиентов остаются уязвимыми или уже пострадали от активной эксплуатации.

Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2025-0282 в свой каталог известных эксплуатируемых уязвимостей в среду.

По состоянию на пятницу Censys выявила более 33 500 публично раскрытых экземпляров Ivanti Connect Secure. Большинство экземпляров с выходом в Интернет, которые не обязательно уязвимы для эксплуатации, расположены в США и Японии, говорится в сообщении Censys.

«Сетевые периферийные устройства являются основными целями для злоумышленников, как правило, среди многих поставщиков и линеек продуктов», — сказал Кондон. «Из имеющейся на данный момент информации о CVE-2025-0282 следует, что активность угроз, по крайней мере частично, приписывается спонсируемой государством группе угроз, которая ранее нацелилась на эти устройства, — это означает, что у них, вероятно, были ресурсы, сильная мотивация и специальные знания об устройствах Ivanti Connect Secure».

В прошлом году организации столкнулись с многочисленными активно эксплуатируемыми уязвимостями в различных продуктах Ivanti, включая Ivanti Cloud Service Appliance и Ivanti Endpoint Manager.