Νέο ελάττωμα στο Ivanti Connect Secure απειλεί επιθέσεις zero-day

Η Ivanti προειδοποιεί ότι οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Connect Secure που παρακολουθείται ως CVE-2025-0282 σε επιθέσεις zero-day για να εγκαταστήσουν κακόβουλο λογισμικό σε συσκευές.

Η εταιρεία λέει ότι ενημερώθηκε για τα τρωτά σημεία αφού το Ivanti Integrity Checker Tool (ICT) εντόπισε κακόβουλη δραστηριότητα στις συσκευές των πελατών. Ο Ivanti ξεκίνησε έρευνα και επιβεβαίωσε ότι οι παράγοντες απειλών εκμεταλλεύονταν ενεργά το CVE-2025-0282 ως μηδενική ημέρα.

Το CVE-2025-0282 είναι ένα κρίσιμο σφάλμα υπερχείλισης buffer που βασίζεται σε στοίβα (9.0) στο Ivanti Connect Secure πριν από την έκδοση 22.7R2.5, το Ivanti Policy Secure πριν από την έκδοση 22.7R1.2 και το Ivanti Neurons για τις πύλες ZTA πριν από την έκδοση 22.7R2.3. που επιτρέπουν σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί εξ αποστάσεως κώδικα συσκευές.

Ενώ το ελάττωμα επηρεάζει και τα τρία προϊόντα, ο Ivanti λέει ότι το έχουν δει να χρησιμοποιείται μόνο στις συσκευές Ivanti Connect Secure.

“Γνωρίζουμε έναν περιορισμένο αριθμό συσκευών Ivanti Connect Secure των πελατών που έχουν γίνει αντικείμενο εκμετάλλευσης από το CVE-2025-0282 τη στιγμή της αποκάλυψης.” διαβάζει μια ανάρτηση ιστολογίου Ivanti.

“Δεν γνωρίζουμε ότι αυτά τα CVE χρησιμοποιούνται στο Ivanti Policy Secure ή στο Neurons για πύλες ZTA.”

Η Ivanti κυκλοφόρησε βιαστικά ενημερώσεις κώδικα ασφαλείας για το Ivanti Connect Secure, οι οποίες επιλύονται στην έκδοση υλικολογισμικού 22.7R2.5.

Ωστόσο, οι ενημερώσεις κώδικα για το Ivanti Policy Secure και το Ivanti Neurons για το ZTA Gateways δεν θα είναι έτοιμα μέχρι τις 21 Ιανουαρίου, σύμφωνα με μια δελτίο ασφαλείας δημοσιεύεται σήμερα.

Ivanti Policy Secure: Αυτή η λύση δεν προορίζεται για πρόσβαση στο διαδίκτυο, γεγονός που μειώνει σημαντικά τον κίνδυνο εκμετάλλευσης. Η ενημέρωση κώδικα για το Ivanti Policy Secure έχει προγραμματιστεί να κυκλοφορήσει στις 21 Ιανουαρίου 2025 και θα είναι διαθέσιμη στην τυπική πύλη λήψης. Οι πελάτες θα πρέπει πάντα να διασφαλίζουν ότι η συσκευή IPS τους έχει διαμορφωθεί σύμφωνα με τις συστάσεις της Ivanti και να μην την εκθέτουν στο διαδίκτυο. Δεν γνωρίζουμε ότι αυτά τα CVE χρησιμοποιούνται στο Ivanti Policy Secure.

Ivanti Neurons για ZTA Gateways: Οι πύλες Ivanti Neurons ZTA δεν μπορούν να αξιοποιηθούν κατά την παραγωγή. Εάν δημιουργηθεί μια πύλη για αυτήν τη λύση και αφεθεί ασύνδετη με έναν ελεγκτή ZTA, τότε υπάρχει κίνδυνος εκμετάλλευσης στην πύλη που δημιουργείται. Η ενημέρωση κώδικα έχει προγραμματιστεί να κυκλοφορήσει στις 21 Ιανουαρίου 2025. Δεν γνωρίζουμε ότι αυτά τα CVE χρησιμοποιούνται στο ZTA Gateways.

Η εταιρεία συνιστά σε όλους τους διαχειριστές του Ivanti Connect Secure να εκτελούν εσωτερικές και εξωτερικές σαρώσεις ICT.

Εάν οι σαρώσεις είναι καθαρές, η Ivanti εξακολουθεί να συνιστά στους διαχειριστές να πραγματοποιήσουν επαναφορά εργοστασιακών ρυθμίσεων πριν την αναβάθμιση σε Ivanti Connect Secure 22.7R2.5.

Ωστόσο, εάν οι σαρώσεις δείχνουν σημάδια συμβιβασμού, ο Ivanti λέει ότι η επαναφορά εργοστασιακών ρυθμίσεων θα πρέπει να αφαιρέσει οποιοδήποτε εγκατεστημένο κακόβουλο λογισμικό. Στη συνέχεια, η συσκευή θα πρέπει να τεθεί ξανά στην παραγωγή χρησιμοποιώντας την έκδοση 22.7R2.5

Οι σημερινές ενημερώσεις ασφαλείας διορθώνουν επίσης ένα δεύτερο θέμα ευπάθειας που παρακολουθείται ως CVE-2025-0283, το οποίο ο Ivanti λέει ότι επί του παρόντος δεν χρησιμοποιείται ούτε συνδέεται με το CVE-2025-0282. Αυτό το ελάττωμα επιτρέπει σε έναν πιστοποιημένο τοπικό εισβολέα να κλιμακώσει τα προνόμιά του.

Καθώς ο Ivanti συνεργάζεται με τη Mandiant και το Microsoft Threat Intelligence Center για τη διερεύνηση των επιθέσεων, πιθανότατα θα δούμε σύντομα αναφορές σχετικά με το κακόβουλο λογισμικό που εντοπίστηκε.

Η BleepingComputer επικοινώνησε με τον Ivanti με περαιτέρω ερωτήσεις σχετικά με τις επιθέσεις και θα ενημερώσει αυτήν την ιστορία εάν λάβουμε απάντηση.

Τον Οκτώβριο, η Ivanti κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει τρεις μηδενικές ημέρες του Cloud Services Appliance (CSA) που χρησιμοποιήθηκαν ενεργά σε επιθέσεις.