Агентство кибербезопасности и безопасности инфраструктуры США (CISA) в пятницу выпустило чрезвычайную директиву, призывающую федеральные агентства гражданской исполнительной власти (FCEB) принять меры по устранению двух активно используемых недостатков нулевого дня в продуктах Ivanti Connect Secure (ICS) и Ivanti Policy Secure (IPS).
Разработка была начата после того, как уязвимости – обход аутентификации (CVE-2023-46805) и ошибка при внедрении кода (CVE-2024-21887) – стали предметом широкого использования уязвимостей несколькими участниками угрозы. Недостатки позволяют злоумышленнику отправлять вредоносные запросы и выполнять произвольные команды в системе.
Американская компания признала в консультативном заключении, что она стала свидетелем "резкого увеличения активности субъектов угроз", начиная с 11 января 2024 года, после того, как недостатки были публично раскрыты.
"Успешное использование уязвимостей в этих затронутых продуктах позволяет злоумышленнику перемещаться вбок, выполнять эксфильтрацию данных и устанавливать постоянный доступ к системе, что приводит к полному компрометированию целевых информационных систем", - сказало агентство.
Компания Ivanti, которая, как ожидается, выпустит обновление для устранения недостатков на следующей неделе, предоставила временное решение проблемы с помощью XML-файла, который можно импортировать в затронутые продукты для внесения необходимых изменений в конфигурацию.
CISA призывает организации, использующие ICS, применить меры по смягчению последствий и запустить внешний инструмент проверки целостности для выявления признаков компрометации, и в случае обнаружения отключить их от сетей и перезагрузить устройство с последующим импортом XML-файла.
Кроме того, организациям FCEB настоятельно рекомендуется отозвать и переиздать все сохраненные сертификаты, сбросить пароль администратора, сохранить ключи API и сбросить пароли любого локального пользователя, определенного на шлюзе.
Компании по кибербезопасности Volexity и Mandiant наблюдали атаки, использующие двойные уязвимости для развертывания веб-оболочек и пассивных бэкдоров для постоянного доступа к скомпрометированным устройствам. По оценкам, на сегодняшний день было скомпрометировано около 2100 устройств по всему миру.
Первоначальная волна атак, выявленная в декабре 2023 года, была приписана группе китайского национального государства, которая отслеживается как UTA0178. Mandiant следит за деятельностью под псевдонимом UNC5221, хотя она не была связана с какой-либо конкретной группой или страной.
Компания GreyNoise, занимающаяся разведкой угроз, заявила, что также наблюдала, как уязвимости используются для удаления постоянных бэкдоров и майнеров криптовалюты XMRig, что указывает на оппортунистическую эксплуатацию злоумышленниками для получения финансовой выгоды.
Разработка была начата после того, как уязвимости – обход аутентификации (CVE-2023-46805) и ошибка при внедрении кода (CVE-2024-21887) – стали предметом широкого использования уязвимостей несколькими участниками угрозы. Недостатки позволяют злоумышленнику отправлять вредоносные запросы и выполнять произвольные команды в системе.
Американская компания признала в консультативном заключении, что она стала свидетелем "резкого увеличения активности субъектов угроз", начиная с 11 января 2024 года, после того, как недостатки были публично раскрыты.
"Успешное использование уязвимостей в этих затронутых продуктах позволяет злоумышленнику перемещаться вбок, выполнять эксфильтрацию данных и устанавливать постоянный доступ к системе, что приводит к полному компрометированию целевых информационных систем", - сказало агентство.
Компания Ivanti, которая, как ожидается, выпустит обновление для устранения недостатков на следующей неделе, предоставила временное решение проблемы с помощью XML-файла, который можно импортировать в затронутые продукты для внесения необходимых изменений в конфигурацию.
CISA призывает организации, использующие ICS, применить меры по смягчению последствий и запустить внешний инструмент проверки целостности для выявления признаков компрометации, и в случае обнаружения отключить их от сетей и перезагрузить устройство с последующим импортом XML-файла.
Кроме того, организациям FCEB настоятельно рекомендуется отозвать и переиздать все сохраненные сертификаты, сбросить пароль администратора, сохранить ключи API и сбросить пароли любого локального пользователя, определенного на шлюзе.
Компании по кибербезопасности Volexity и Mandiant наблюдали атаки, использующие двойные уязвимости для развертывания веб-оболочек и пассивных бэкдоров для постоянного доступа к скомпрометированным устройствам. По оценкам, на сегодняшний день было скомпрометировано около 2100 устройств по всему миру.
Первоначальная волна атак, выявленная в декабре 2023 года, была приписана группе китайского национального государства, которая отслеживается как UTA0178. Mandiant следит за деятельностью под псевдонимом UNC5221, хотя она не была связана с какой-либо конкретной группой или страной.
Компания GreyNoise, занимающаяся разведкой угроз, заявила, что также наблюдала, как уязвимости используются для удаления постоянных бэкдоров и майнеров криптовалюты XMRig, что указывает на оппортунистическую эксплуатацию злоумышленниками для получения финансовой выгоды.