Отключить нельзя исправить: Китай использует 0day в VPN Ivanti для шпионажа за всем миром

ИБ-компания Censys обнаружила, что хакеры, предположительно работающие на китайское правительство, массово используют критические уязвимости в виртуальных частных сетях (VPN) компании Ivanti, получая полный контроль над устройствами.

По данным Censys, из 26 тысяч устройств, подключенных к интернету, 492 VPN Ivanti оставались зараженными в разных странах мира, включая США (121 устройство), Германию (26), Южную Корею (24) и Китай (21). Наибольшее количество зараженных устройств обнаружено в облачном сервисе Microsoft (13), за ним следуют облачные среды Amazon (12) и Comcast (10).

Исследователи Censys провели вторичное сканирование серверов Ivanti Connect Secure и обнаружили 412 уникальных хостов с бэкдором, а также 22 различных варианта вредоносного ПО, что может указывать на множество злоумышленников или на одного, меняющего свои тактики.

Речь идет о двух уязвимостях нулевого дня (zero-day) в веб-компонентах Ivanti Connect Secure и Ivanti Policy Secure всех поддерживаемых версий (9.x, 22.x):

• CVE-2023-46805 (оценка CVSS: 8.2): уязвимость обхода аутентификации – позволяет удаленному злоумышленнику получить доступ к ограниченным ресурсам, минуя контрольные проверки;
• CVE-2024-21887 (оценка CVSS: 9.1): уязвимость внедрения команд – позволяет аутентифицированному хакеру отправлять специально созданные запросы и выполнять произвольные команды на устройстве.

Атакующие используют эксплойты для установки множества бэкдоров, которые собирают как можно больше учетных данных различных сотрудников и устройств в зараженной сети, а также позволяют перемещаться по сети. Несмотря на использование вредоносного ПО, киберпреступники в основном используют подход Living off the Land (LotL), который злоупотребляет легитимным ПО и инструментами, избегая обнаружения.

По словам Censys, доказательства компании свидетельствуют о том, что киберпреступники мотивированы целями шпионажа. Эта теория совпадает с недавними отчетами компаний Volexity и Mandiant. Исследователи Volexity предполагают, что угроза исходит от «китайского государственного злоумышленника» UTA0178. Mandiant, которая отслеживает эту группу как UNC5221, сообщает, что методы группы указывают на усовершенствованную постоянную угрозу (Advanced Persistent Threat, APT).

Все федеральные агентства получили указание принять меры для предотвращения эксплуатации уязвимостей. Ivanti еще не выпустила исправления для устранения уязвимостей. Пока обновления не поступили, CISA и ИБ-компании настоятельно рекомендуют затронутым пользователям следовать рекомендациям Ivanti по смягчению последствий и восстановлению систем. По словам компании, исправления будут выпускаться постепенно: первая версия будет доступна клиентам 22 января, а окончательная версия — 19 февраля.

Массовые взломы начались 11 января, на следующий день после того, как Ivanti раскрыла уязвимости. Ошибки особенно опасны из-за их влияния, широкого распространения систем и сложности смягчения последствий, особенно учитывая отсутствие официального исправления от производителя.

Подробные описания поведения вредоносного ПО и методы обнаружения заражений предоставлены в исследованиях Volexity и Mandiant. Учитывая серьезность уязвимостей и последствия их эксплуатации, все пользователи затронутых продуктов должны как можно скорее принять меры по смягчению угрозы, даже если это потребует временного приостановления использования VPN.