Kampuni ya kutengeneza programu za usimamizi Ivanti inaendelea kutatizika na dosari za usalama katika bidhaa zake – wiki hii ikitangaza udhaifu mwingine mwingine kwenye vifaa – na kikundi cha vitisho chenye uhusiano na Uchina kinachojulikana kwa upelelezi wa mtandao kinaweza kuwa kinatumia mojawapo ya mende. Ivanti wiki hii alitoa notisi kuhusu udhaifu huo, akisema kwamba moja ya dosari – iliyofuatiliwa kama CVE-2025-0282 – ilikuwa ikinyonywa porini, na “idadi ndogo” ya wateja wanaotumia vifaa vya Ivanti’s Connect Secure VPN wakilengwa. Hitilafu hizo huathiri njia za Ivanti za Connect Secure, Policy Secure na ZTA, ambazo hutumiwa katika mitandao ya makampuni ya kibiashara na mashirika ya serikali. Katika ripoti yao wenyewe, watafiti wa kijasusi wa vitisho na biashara ya usalama wa mtandao ya Mandiant ya Google waliandika kwamba, kulingana na baadhi ya programu hasidi zilizopatikana kwenye vifaa vilivyoambukizwa, kuna uwezekano kwamba vikundi vya vitisho vya Uchina UNC5337 na UNC5221 vinaweza kuwa nyuma ya mashambulio yanayotumia hatari hiyo. Watafiti, ambao wanafanya kazi na Ivanti kuhusu udhaifu wa hivi majuzi zaidi, pia walionya kwamba mashambulizi yanayotumia dosari ya usalama yatapanuka, haswa ikiwa unyonyaji wa uthibitisho wa dhana (POC) utaendelezwa. “Mandiant hutathmini kwamba watetezi wanapaswa kuwa tayari kwa unyonyaji ulioenea, unaotumia fursa, uwezekano wa kulenga sifa na uwekaji wa makombora ya wavuti kutoa ufikiaji wa siku zijazo,” waliandika, wakibainisha kuwa unyonyaji huo ulianza katikati ya Desemba. “Zaidi ya hayo, ikiwa matumizi ya uthibitisho wa dhana ya CVE-2025-0282 yataundwa na kutolewa, Mandiant anatathmini kuwa kuna uwezekano watendaji wa ziada wa vitisho wanaweza kujaribu kulenga vifaa vya Ivanti Connect Secure.” Matatizo ya Kukabiliwa na Hatari Ivanti kwa zaidi ya mwaka mmoja amekumbwa na dosari za kiusalama – ambazo baadhi yake zimetumiwa na magenge ya ujasusi wa China, ikiwa ni pamoja na UNC5337, kundi kubwa ambalo ni sehemu yake, UNC5221, na Kimbunga cha Volt – hadi kufikia hatua. Mkurugenzi Mtendaji Jeff Abbot katika barua ya wazi kwa tasnia, washirika, na wateja mnamo Aprili 2024 aliahidi marekebisho. wa shughuli za usalama za kampuni. Walakini, udhaifu unaendelea kuongezeka. Katika angalau kifaa kimoja cha Ivanti kinachochambuliwa, watafiti wa Mandiant walipata programu hasidi kutoka kwa familia ya SPAWN, ambayo ni pamoja na kisakinishi cha SPAWNANT, kichuguu cha SPAWNMOLE, na mlango wa nyuma wa SPAWNSNAIL SSH, yote ambayo yaliwaelekeza kuangalia – kwa ujasiri wa wastani – kwamba UNC5337 na UNC5221 wanaanzisha mashambulizi. Pia kulikuwa na familia mbili za programu hasidi ambazo hazikuzingatiwa hapo awali kwenye vifaa vingine vya maelewano – DRYHOOK na PHASEJAM, kiboreshaji – ambazo bado hazijaunganishwa na kikundi tishio, waliandika. Kusonga Baadaye, Kitambulisho cha Kuiba Baada ya kutumia uwezekano huo, wavamizi huanzisha ustahimilivu katika kifaa cha Ivanti na kupita kwenye mtandao wa mwathiriwa. Mandiant alipata vichuguu vingi vinavyopatikana kwa umma na vya chanzo huria ambavyo hufungua njia za mawasiliano kati ya vifaa vilivyoathiriwa na miundombinu mbovu ya amri na udhibiti (C2) ya mwigizaji. Vichungi huruhusu washambuliaji kukwepa udhibiti wa usalama wa mtandao na wingu kuwezesha harakati za upande kupitia mazingira ya mwathiriwa. Wavamizi hao pia walitumia zana kadhaa kuendesha uchunguzi wa ndani kwenye mtandao na walitumia akaunti ya huduma ya LDAP kutekeleza maombi ya LDAP ya maelezo kutoka kwa huduma ya saraka. Pia walitumia akaunti ya huduma ya LDAP kusogeza kando kupitia mtandao, ikijumuisha seva za Microsoft Active Directory, kupitia Kizuizi cha Ujumbe wa Seva (SMB) na Itifaki ya Eneo-kazi la Mbali (RDP). Vitendo vingine vya baada ya unyonyaji ni pamoja na “kuhifadhi kashe ya hifadhidata kwenye kifaa kilichoathiriwa na kuweka data iliyohifadhiwa kwenye saraka inayohudumiwa na seva ya wavuti inayoangalia umma ili kuwezesha utaftaji wa hifadhidata,” watafiti waliandika. “Kashe ya hifadhidata inaweza kuwa na taarifa zinazohusiana na vipindi vya VPN, vidakuzi vya kikao, vitufe vya API, cheti na nyenzo za kitambulisho.” DRYHOOK, hati ya Python, ilitumiwa kuiba vitambulisho kwa kurekebisha kijenzi cha mfumo katika mazingira ya Ivanti Connect Secure. Sababu ya Kuhangaika Wateja wa Ivanti wanaweza kutumia Zana ya Kukagua Uadilifu ili kubaini kama vifaa vyao vimeathiriwa na, ikiwa sivyo, wanaweza kupata toleo jipya zaidi la programu. Watalazimika kuweka mipangilio ya kiwandani kwa kifaa ikiwa wametumiwa ili kuhakikisha kuwa programu hasidi imeondolewa. Kuna kiraka kinachopatikana sasa cha vifaa vya Unganisha Secure, lakini marekebisho ya Policy Secure na ZTA Gateway yatatolewa Januari 21. Kulingana na Ivanti, uwezekano wa kuathirika kwa CVE-2025-0282 umetumiwa katika kifaa cha Connect Secure, lakini hakijafanyika. t kuona mojawapo ya dosari mpya zinazotumiwa katika lango la Ivanti Policy Secure au lango la ZTA. Pia hakuna ushahidi kwamba CVE-2025-0283, dosari nyingine iliyopatikana, imetumiwa wakati wa kufichuliwa. Habari za udhaifu wa ziada wa Ivanti zinasafiri haraka katika nchi kote ulimwenguni, ikiwa ni pamoja na Uingereza, ambapo Kituo cha Usalama cha Mtandao cha Kitaifa kilitoa ushauri wake, huku CISA ikiongeza CVE-2025-0282 orodha yake ya udhaifu unaojulikana kutumiwa. Makala ya Hivi Karibuni Na Mwandishi Asili URL ya Chapisho: https://securityboulevard.com/2025/01/chinese-linked-hackers-may-be-exploiting-latest-ivanti-vulnerability/Kitengo & Lebo: Usalama wa Wingu,Cybersecurity,Usalama wa Data, Endpoint,Malware, Usalama wa Mtandao,Habari,Security Boulevard (Asili),Kijamii – Facebook,Social – LinkedIn,Social – X,Spotlight,Threat Intelligence,Udhaifu,Ujasusi wa mtandao wa China,Ivanti – Cloud Security,Cybersecurity,Data Security,Endpoint,Malware,Usalama wa Mtandao,Habari,Security Boulevard (Original),Kijamii – Facebook, Kijamii – LinkedIn, Jamii – X, Spotlight, Intelligence ya Tishio, Udhaifu, Kichina ujasusi wa mtandao,Ivanti