Ivanti подарила китайским хакерам доступ к секретным данным США

Агентство кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) экстренно выпустила директиву, призывающую агентства Федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) принять меры по смягчению последствий двух активно используемых уязвимостей нулевого дня в Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS).

Предупреждение появилось в связи с тем, что две уязвимости — обход аутентификации ( CVE-2023-46805 , оценка CVSS: 8.2) и ошибка внедрения кода ( CVE-2024-21887 , оценка CVSS: 9.1) — стали широко использоваться многими злоумышленниками. Недостатки позволяют атакующему создавать вредоносные запросы и выполнять произвольные команды в системе.

Ivanti признала, что стала свидетелем «резкого увеличения активности субъектов угроз», начиная с 11 января 2024 года, после того как недостатки были публично раскрыты. Успешная эксплуатация уязвимостей позволяет киберпреступнику выполнять боковое перемещение (Lateral Movement), осуществлять кражу данных и обеспечивать постоянный доступ к системе, что приводит к полной компрометации целевых информационных систем.

Компания Ivanti, которая, как ожидается, выпустит обновление для устранения недостатков на следующей неделе, предоставила временный обходной путь через XML-файл, который можно импортировать в затронутые продукты для внесения необходимых изменений в конфигурацию.

CISA призывает организации, использующие ICS, применить средства защиты и запустить внешний инструмент проверки целостности, чтобы выявить признаки компрометации, а в случае обнаружения отключить их от сетей и перезагрузить устройство с последующим импортом XML-файла.

Кроме того, организациям FCEB настоятельно рекомендуется отозвать и перевыпустить любые сохраненные сертификаты, сбросить пароль администратора, сохранить ключи API и сбросить пароли любого локального пользователя, определенного на шлюзе.

Компании по кибербезопасности Volexity и Mandiant наблюдали атаки с использованием указанных недостатков для развертывания веб-оболочек и бэкдоров для постоянного доступа к зараженным устройствам. По оценкам, на сегодняшний день взломано около 2 100 устройств по всему миру.

Первоначальная волна атак зафиксирована в декабре 2023 года. С того момента к активной эксплуатации уязвимостей помимо подозреваемых ранее китайских государственных хакеров (UTA0178 или UNC5221) присоединилось множество новых группировок.