Компанія Volexity, що займається розвідкою загроз та реагуванням на інциденти, почала спостерігати широке використання нещодавно виявленої вразливості в пристрої Ivanti Connect Secure VPN. 10 січня компанія Volexity, що відстежується як UTA0178, Китай, попередила, що зловмисники, які, як вважають, пов’язані з Китаєм, використовують дві вразливості “нульового дня”. попередила, що зловмисники з групи, яка, як вважають, пов’язана з Китаєм, використовують дві вразливості нульового дня в Ivanti VPN, щоб отримати доступ до внутрішніх мереж і викрасти інформацію.
Ці уразливості являють собою баг обходу автентифікації, що відслідковується як CVE-2023-46805, та проблему командного втручання, що відслідковується як CVE-2024-21887. Поєднання цих двох вразливостей дозволяє віддаленим неавторизованим зловмисникам виконувати довільні команди на цільовому пристрої.
Спочатку це була цільова атака, але зараз, схоже, вона набула широкого поширення, оскільки компанія Volexity просканувала приблизно 50 000 IP-адрес, пов’язаних з пристроями Ivanti VPN, і виявила, що понад 1 700 пристроїв було скомпрометовано.
Скомпрометовані пристрої належать організаціям в урядовому, військовому, телекомунікаційному, оборонному, технологічному, банківському, фінансовому, бухгалтерському, консалтинговому, аерокосмічному, авіаційному та інженерному секторах. Серед них – малі та середні підприємства та компанії зі списку Fortune 500.
Жертв було помічено по всьому світу, але найбільший відсоток, здається, у Сполучених Штатах, за ними йде Європа.
Volexity зазначив, що фактична кількість скомпрометованих систем, ймовірно, більша, ніж те, що було виявлено під час сканування.
“Компанія Volexity з середнім ступенем впевненості вважає, що цей масивний експлойт був виконаний UTA0178. Ця оцінка базується на використанні тієї ж веб-оболонки, що і в попередньому експлойті, та швидкості, з якою він був виконаний після того, як деталі експлойту були оприлюднені”, – заявили в компанії, що займається кібербезпекою.
Хоча UTA0178, схоже, стоїть за багатьма атаками, інші суб’єкти загрози також намагаються використовувати вразливості продукту Ivanti, включно з уразливістю, яку Volexity відстежує як UTA0188.
Деякі спроби використання, ймовірно, є роботою спільноти кібербезпеки. Дослідник Кевін Бомонт, який назвав уразливості Ivanti ConnectAround, також проводив сканування.
Ivanti оголосила про усунення проблеми 10 січня, але виправлення буде доступне не раніше 22 січня. Mandiant також проаналізувала атаки з використанням CVE-2023-46805 та CVE-2024-21887, які відстежуються як UNC5221 пов’язані з групою кібершпигунів.
Компанія ідентифікувала п’ять сімейств шкідливих програм, які розгорнули хакери, включаючи веб-оболонки, дроппери, бекдори та викрадачі інформації під назвою ThinSpool, LightWire, WireFire, WarpWire та ZipLine. Mandiant бачив ознаки того, що хакери вжили заходів, щоб зберегти доступ до цінних систем навіть після випуску патчів Ivanti.
