Ο Ιβάντι έχει εκδοθείς μια προειδοποίηση σχετικά με μια ευπάθεια μηδενικής ημέρας, η οποία παρακολουθείται ως CVE-2025-0282στις ευρέως χρησιμοποιούμενες συσκευές VPN που έχει αξιοποιηθεί για να παραβιάσει τα δίκτυα πελατών. Η ευπάθεια μπορεί να εκμεταλλευτεί χωρίς έλεγχο ταυτότητας, επιτρέποντας στους εισβολείς να τοποθετήσουν εξ αποστάσεως κακόβουλο κώδικα στα προϊόντα Connect Secure, Policy Secure και ZTA Gateways της Ivanti.
Ο Ivanti προειδοποιεί για ευπάθεια zero-day στις συσκευές VPN
Αποκαλύφθηκε την Τετάρτη, το κρίσιμο ελάττωμα επηρεάζει το Ivanti Connect Secure, το οποίο θεωρείται «το πιο ευρέως διαδεδομένο SSL VPN από οργανισμούς κάθε μεγέθους, σε κάθε μεγάλο κλάδο». Η εταιρεία αντιλήφθηκε την ευπάθεια όταν το Εργαλείο Ελέγχου Ακεραιότητας (ICT) εντόπισε κακόβουλη δραστηριότητα σε συσκευές πελατών. Η Ivanti αναγνωρίζει ότι γνώριζε έναν «περιορισμένο αριθμό πελατών» των οποίων οι συσκευές είχαν παραβιαστεί.
Ενώ μια ενημέρωση κώδικα είναι διαθέσιμη για το Connect Secure, οι ενημερώσεις κώδικα για το Policy Secure και το ZTA Gateways, οι οποίες δεν έχουν επιβεβαιωθεί ως εκμεταλλεύσιμες, δεν αναμένονται μέχρι τις 21 Ιανουαρίου. Ο Ivanti εντόπισε επίσης μια δεύτερη ευπάθεια, CVE-2025-0283το οποίο δεν έχει ακόμη αξιοποιηθεί.
Μην αγνοήσετε: Η ενημέρωση κυβερνοασφάλειας της Adobe θα μπορούσε να σώσει τα δεδομένα σας
Mandiant, μια εταιρεία αντιμετώπισης περιστατικών, αναφέρθηκε ότι παρατήρησε την εκμετάλλευση του CVE-2025-0282 ήδη από τα μέσα Δεκεμβρίου 2024. Αν και η Mandiant δεν έχει συνδέσει οριστικά τα τρωτά σημεία με έναν συγκεκριμένο παράγοντα απειλής, υποπτεύεται συμμετοχή από μια ομάδα κυβερνοκατασκοπείας που συνδέεται με την Κίνα, γνωστή ως UNC5337 και UNC5221. Αυτή η ομάδα έχει εκμεταλλευτεί στο παρελθόν τα τρωτά σημεία του Ivanti για να εκτελέσει μαζικές εισβολές εναντίον πελατών.
Σύμφωνα με TechCrunchο Ben Harris, Διευθύνων Σύμβουλος της watchTowr Labs, σημείωσε εκτεταμένες επιπτώσεις από το τελευταίο ελάττωμα του Ivanti VPN, υποδεικνύοντας ότι οι επιθέσεις παρουσιάζουν χαρακτηριστικά τυπικά μιας προηγμένης επίμονης απειλής. Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου διερευνά επίσης υποθέσεις ενεργούς εκμετάλλευσης που επηρεάζουν δίκτυα στο ΗΒ.
Σύνδεσμος με κινεζικούς κυβερνοκατασκόπους
Η Mandiant συνέδεσε την εκμετάλλευση του CVE-2025-0282 με Κινέζους κυβερνοχώρους, σημειώνοντας τη χρήση μιας οικογένειας κακόβουλου λογισμικού που είχε ανακαλυφθεί προηγουμένως που ονομάζεται Spawn. Αυτή η εργαλειοθήκη περιλαμβάνει διάφορα κακόβουλα εργαλεία, όπως ένα πρόγραμμα εγκατάστασης, ένα tunneler και μια κερκόπορτα SSH, όλα συνδέονται με δραστηριότητες κατασκοπείας που αποδίδονται στο UNC5337.
Εκτός από το Spawn, η Mandiant εντόπισε δύο νέες οικογένειες κακόβουλου λογισμικού που ονομάζονται DryHook και PhaseJam, οι οποίες επί του παρόντος δεν σχετίζονται με καμία γνωστή ομάδα απειλών. Η αλυσίδα εκμετάλλευσης περιλαμβάνει τους εισβολείς που στέλνουν αιτήματα για να αναγνωρίσουν τις εκδόσεις λογισμικού της συσκευής και στη συνέχεια αξιοποιούν το CVE-2025-0282 για να αποκτήσουν πρόσβαση, να απενεργοποιήσουν τις προστασίες ασφαλείας και να αναπτύξουν πρόσθετο κακόβουλο λογισμικό.
Μόλις παραβιαστεί, οι εισβολείς χρησιμοποίησαν το σταγονόμετρο PhaseJam για να δημιουργήσουν κελύφη ιστού στις συνδεδεμένες συσκευές. Το PhaseJam τροποποιεί επίσης τα σενάρια αναβάθμισης για να μπλοκάρει τις πραγματικές ενημερώσεις. Η εργαλειοθήκη Spawn, η οποία προορίζεται να παραμείνει σε όλες τις αναβαθμίσεις συστήματος, αναπτύσσεται επίσης μαζί με τις νέες οικογένειες κακόβουλου λογισμικού.
Ο πρωταρχικός στόχος των εισβολέων φαίνεται να είναι να κλέψουν ευαίσθητες πληροφορίες που σχετίζονται με περιόδους σύνδεσης VPN, κλειδιά API και διαπιστευτήρια αρχειοθετώντας βάσεις δεδομένων στις επηρεαζόμενες συσκευές και τοποθετώντας αυτά τα δεδομένα για διείσδυση. Το DryHook έχει χρησιμοποιηθεί για τη λήψη διαπιστευτηρίων χρήστη κατά τη διάρκεια των διαδικασιών ελέγχου ταυτότητας.
Οι ειδικοί σε θέματα ασφάλειας συνιστούν στους διαχειριστές συστήματος να πραγματοποιήσουν επαναφορά εργοστασιακών ρυθμίσεων και να κάνουν αναβάθμιση στην έκδοση 22.7R2.5 του Ivanti Connect Secure. Αυτή η συμβουλή είναι κρίσιμη δεδομένου ότι περισσότερες από 3.600 συσκευές ICS είχαν εκτεθεί στο διαδίκτυο όταν ανακοινώθηκε η αρχική ευπάθεια, αν και ο αριθμός έκτοτε μειώθηκε σε περίπου 2.800, υποδηλώνοντας έναν συνεχιζόμενο σημαντικό κίνδυνο.
Πίστωση επιλεγμένης εικόνας: Κερέμ Γκιουλέν/Μέσα ταξίδι
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
