Sekta ya usalama wa mtandao inawataka wale wanaosimamia kutetea mashirika yao kuchukua juhudi za kupunguza “kwa uzito” wakati Ivanti anapambana na udhaifu mpya hatari, mmoja ambao ulikuwa tayari unatumiwa kama siku sifuri. Ni chini ya mwaka mmoja tu tangu snafu ya mwisho ya hadhi ya juu ilipompata muuzaji na sasa dosari mbili mpya ziko tayari kutiwa viraka kwa haraka iwezekanavyo: CVE-2025-0282 (9.0 ukali – muhimu): mbaya zaidi kati ya hizo mbili ni hitilafu ya kufurika ya akiba inayotokana na rafu inayoongoza kwa utekelezaji wa msimbo wa mbali ambao haujaidhinishwa. Hii ndiyo iliyokuwa tayari imetumiwa, ikiathiri Ivanti Connect Secure kabla ya toleo la 22.7R2.5, Ivanti Policy Secure kabla ya toleo la 22.7R1.2, na Ivanti Neurons kwa lango la ZTA kabla ya toleo la 22.7R2.3. CVE-2025-0283 (7.0 ukali – juu): Kidogo kati ya maovu hayo mawili ni kufurika kwa bafa inayotokana na rafu inayoongoza kwa ongezeko la fursa kwa wavamizi walioidhinishwa nchini. Bidhaa na matoleo sawa yanaathiriwa. Masuala hayo mawili hayaaminiki kuhusishwa na mashambulizi hayo. Ivanti alisema kuwa CVE-2025-0282 ni siku ya sifuri iliyonyonywa, lakini walipata tu CVE-2025-0283 wakati wa awamu ya uwindaji wa vitisho na waliamua kuijumuisha katika ushauri. Udhaifu huo utakuja kwa vile habari zisizokubalika hasa ikizingatiwa kwamba Connect Secure and Policy Secure, ikifuatiwa kwa karibu na ZTA Gateways – wahusika wa dosari mbaya za mwaka jana – wanahusika tena hapa. Mapungufu kutoka kwa siku sifuri za mapema, mafanikio yaliyotokana (yaliyoaminika kuwa maelfu), na mkakati mbovu wa kupunguza ulisababisha kampuni kujitolea kufanya marekebisho salama kwa muundo wa maendeleo, kulingana na barua ya wazi iliyoandikwa na Mkurugenzi Mtendaji wa zamani Jeff. Abbott. Wateja wa Ivanti wanaotafuta mwongozo sasa wanashauriwa kutumia Zana yake ya Kukagua Uadilifu (ICT), ambayo hutoa maelezo zaidi kuhusu hali ya kifaa chao lakini ambayo hayapaswi kutegemewa ili kugundua shughuli za unyanyasaji au viashirio vya maelewano. “ICT ni picha ya hali ya sasa ya kifaa na haiwezi kugundua shughuli za watendaji tishio ikiwa wamerudisha kifaa katika hali safi,” Ivanti alisema katika ushauri wake. “ICT haichanganui programu hasidi au Viashiria vingine vya Maelewano. Wateja wanapaswa kuendesha ICT kwa kushirikiana na zana zingine za ufuatiliaji. “Viashiria vya Maelewano vitashirikiwa na wateja ambao wamethibitisha athari ili kuwasogeza mbele katika uchunguzi wao wa kitaalamu. Ikiwa wateja wanahitaji maelezo ya ziada, wanapaswa kufungua tikiti kwa usaidizi. Masasisho ya Connect Secure yametoka sasa, huku mchuuzi akiwahimiza watumiaji wote kuboresha hadi toleo la 22.7R2.5 au matoleo mapya zaidi haraka iwezekanavyo, baada ya kurejesha mipangilio iliyotoka nayo kiwandani ya kifaa. Hata hivyo, Policy Secure na ZTA Gateways hazitapokea masasisho yao hadi Januari 21. Ivanti alisema katika ushauri wake kwamba zile za zamani hazipaswi kamwe kuonyeshwa kwenye wavuti, na haijulikani kuwa walengwa wa ushujaa unaoendelea. Mwisho hauwezi kutumiwa wakati wa uzalishaji, lakini ikiwa lango litatolewa na kuachwa bila kuunganishwa na mtawala wa ZTA, basi hatari ya unyonyaji ipo, Ivanti alisema. Wasifu wa shambulio la siku sifuri Mandiant aliandaliwa ili kumsaidia Ivanti na uchunguzi wa ushujaa unaojulikana na wataalam wa vitisho walielezea shambulio hilo katika blogi yake, wakibaini kuwa matukio hayo yalitokea mapema katikati ya Desemba. Katika angalau kisa kimoja kinachochunguzwa kwa sasa, kundi lililoendesha mashambulizi hayo lilipeleka mizigo kutoka kwa mfumo ikolojia wa Spawn wa programu hasidi, ambao hapo awali ulihusishwa na kundi la shughuli za nyimbo za Mandiant kama UNC5337, ambayo nayo ina uhusiano na UNC5221 – inayojulikana kama China. kikundi. Vifaa vingine vimeonyesha dalili za familia za programu hasidi, ambazo sasa zinafuatiliwa kama Dryhook na Phasejam. Haijawahi kuonekana hapo awali, familia hizi hazifungamani na kikundi mahususi au nguzo ya shughuli. “Inawezekana kuwa wahusika wengi wana jukumu la kuunda na kusambaza familia hizi tofauti za kanuni (yaani Spawn, Dryhook, na Phasejam), lakini hadi tunapochapisha ripoti hii, hatuna data ya kutosha kutathmini kwa usahihi idadi ya tishio. wahusika wanaolenga CVE-2025-0282,” Mandiant alisema. Kulingana na watu wa watchTowr, ambao bado wanafanyia kazi uchunguzi wao wenyewe wa masuala hayo, shughuli hii ina alama mahususi za kampeni ya hali ya juu ya tishio (APT). Benjamin Harris, Mkurugenzi Mtendaji wa watchTowr, alisema: “Wasiwasi wetu ni muhimu kwani hii ina alama zote za matumizi ya APT ya siku sifuri dhidi ya kifaa muhimu cha dhamira. Pia inafanana na tabia na mchezo wa kuigiza unaozunguka bidhaa za Ivanti ambazo sisi kama tasnia tuliona mnamo Januari 2024, na tunaweza kutumaini kuwa Ivanti amejifunza kutokana na uzoefu huo kuhusu kuchukua hatua madhubuti. “Watumiaji wa Ivanti Connect Secure wana kiraka kinachopatikana, lakini kwa mara nyingine tena – viraka vya vifaa vingine vilivyoathiriwa kama vile Secure ya Sera ya Ivanti na Neurons kwa lango la ZTA vinasalia kusubiri wiki tatu kwa kiraka. Watumiaji wa bidhaa hizi hawapaswi kusita – vifaa hivi vinapaswa kuvutwa nje ya mtandao hadi viraka vipatikane. “watchTowr mteja au la – tunahimiza kila mtu tafadhali alichukulie hili kwa uzito. Tupa SLA zako za kuathirika katika hali kama hii, hazifai tena na tofauti kati ya majibu ya haraka, na jibu kwa saa, inaweza kuwa tofauti kati ya shirika lako kupiga bima yako ya mtandao au la. Mandiant aliongeza kuwa “watetezi wanapaswa kuwa tayari kwa unyonyaji ulioenea, wenye fursa, uwezekano wa kulenga sifa na kupelekwa kwa makombora ya wavuti kutoa ufikiaji wa siku zijazo.” Iwapo matumizi ya umma yatapatikana, vikundi vingine na watu binafsi wanaweza kutumia udhaifu huo pia, kwa hivyo kutumia viraka vinavyopatikana na kuvuta vifaa vya Policy Secure na ZTA Gateway nje ya mtandao kunafaa kutekelezwa haraka iwezekanavyo. ® URL Asili ya Chapisho: https://go.theregister.com/feed/www.theregister.com/2025/01/09/zeroday_exploits_ivanti/
Leave a Reply