Mitandao inayolindwa na Ivanti VPNs inashambuliwa na wavamizi walio na rasilimali nzuri ambao wanatumia hatari kubwa inayowapa udhibiti kamili wa vifaa vilivyounganishwa kwenye mtandao. Watengenezaji wa vifaa vya ujenzi Ivanti alifichua hatari hiyo, iliyofuatiliwa kama CVE-2025-0283, siku ya Jumatano na kuonya kuwa ilikuwa chini ya unyonyaji dhidi ya baadhi ya wateja. Athari hii, ambayo inatumiwa vibaya ili kuruhusu wavamizi kutekeleza msimbo hasidi bila uthibitishaji unaohitajika, inapatikana katika Connect Secure VPN ya kampuni hiyo, Policy Secure & ZTA Gateways. Ivanti alitoa kiraka cha usalama wakati huo huo. Inasasisha Connect Secure device hadi toleo la 22.7R2.5. Imeandikwa vizuri, yenye vipengele vingi Kulingana na mtoa huduma wa usalama anayemilikiwa na Google Mandiant, hatari hiyo imetumiwa kikamilifu dhidi ya “vifaa vingi vilivyoathirika vya Ivanti Connect Secure” tangu Desemba, mwezi mmoja kabla ya siku sifuri kudhihirika. Baada ya kutumia athari, wavamizi wanaendelea kusakinisha vifurushi viwili vya programu hasidi ambavyo havijawahi kuonekana, vinavyofuatiliwa chini ya majina ya DRYHOOK na PHASEJAM kwenye baadhi ya vifaa vilivyoathiriwa. PHASEJAM ni hati ya ganda la bash iliyoandikwa vizuri na yenye sura nyingi. Kwanza husakinisha ganda la wavuti ambalo huwapa wadukuzi wa mbali udhibiti wa upendeleo wa vifaa. Kisha huingiza kitendakazi kwenye utaratibu wa kusasisha Connect Secure ambao unakusudiwa kuiga mchakato wa uboreshaji. “Ikiwa msimamizi wa ICS atajaribu kuboresha, chaguo la kukokotoa linaonyesha mchakato wa kuboresha unaoonekana unaoonyesha kila hatua pamoja na idadi mbalimbali ya nukta ili kuiga mchakato unaoendelea,” Mandiant alisema. Kampuni iliendelea: PHASEJAM inaingiza utendakazi hasidi kwenye /home/perl/DSupgrade.pm faili inayoitwa processUpgradeDisplay(). Utendaji unanuiwa kuiga mchakato wa uboreshaji unaohusisha hatua 13, huku kila moja ikichukua muda ulioainishwa awali. Msimamizi wa ICS akijaribu kusasisha, chaguo la kukokotoa linaonyesha mchakato wa kuboresha unaoonekana unaoonyesha kila hatua pamoja na idadi mbalimbali ya nukta ili kuiga mchakato unaoendeshwa. Maelezo zaidi yametolewa katika sehemu ya Kudumu ya Kuboresha Mfumo. Wavamizi pia wanatumia programu hasidi iliyoonekana hapo awali iliyofuatiliwa kama SPAWNANT kwenye baadhi ya vifaa. Mojawapo ya kazi zake ni kuzima zana ya kukagua uadilifu (ICT) Ivanti ameunda katika matoleo ya hivi karibuni ya VPN ambayo yameundwa kukagua faili za kifaa kwa nyongeza ambazo hazijaidhinishwa. SpawnAnt hufanya hivyo kwa kubadilisha heshi ya kriptografia ya SHA256 inayotarajiwa ya faili ya msingi na kuweka heshi yake baada ya kuambukizwa. Kwa hivyo, wakati zana inaendeshwa kwenye vifaa vilivyoathiriwa, wasimamizi huona skrini ifuatayo:
Leave a Reply