Ivanti подарила китайским хакерам доступ к секретным данным США

Агентство кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA ) экстренно выпустила директиву, призывающую агентства Федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) принять меры по смягчению последствий двух активно используемых уязвимостей нулевого дня в Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS).

Предупреждение появилось в связи с тем, что две уязвимости — обход аутентификации ( CVE-2023-46805 , оценка CVSS: 8.2) и ошибка внедрения кода ( CVE-2024-21887 , оценка CVSS: 9.1) — стали широко использоваться многими злоумышленниками. Недостатки позволяют атакующему создавать вредоносные запросы и выполнять произвольные команды в системе.

Ivanti признала, что стала свидетелем «резкого увеличения активности субъектов угроз», начиная с 11 января 2024 года, после того как недостатки были публично раскрыты. Успешная эксплуатация уязвимостей позволяет киберпреступнику выполнять боковое перемещение (Lateral Movement), осуществлять кражу данных и обеспечивать постоянный доступ к системе, что приводит к полной компрометации целевых информационных систем.

Компания Ivanti, которая, как ожидается, выпустит обновление для устранения недостатков на следующей неделе, предоставила временный обходной путь через XML-файл, который можно импортировать в затронутые продукты для внесения необходимых изменений в конфигурацию.

CISA призывает организации, использующие ICS, применить средства защиты и запустить внешний инструмент проверки целостности, чтобы выявить признаки компрометации, а в случае обнаружения отключить их от сетей и перезагрузить устройство с последующим импортом XML-файла.

Кроме того, организациям FCEB настоятельно рекомендуется отозвать и перевыпустить любые сохраненные сертификаты, сбросить пароль администратора, сохранить ключи API и сбросить пароли любого локального пользователя, определенного на шлюзе.

Компании по кибербезопасности Volexity и Mandiant наблюдали атаки с использованием указанных недостатков для развертывания веб-оболочек и бэкдоров для постоянного доступа к зараженным устройствам. По оценкам, на сегодняшний день взломано около 2 100 устройств по всему миру.

Первоначальная волна атак зафиксирована в декабре 2023 года. С того момента к активной эксплуатации уязвимостей помимо подозреваемых ранее китайских государственных хакеров (UTA0178 или UNC5221) присоединилось множество новых группировок.