Mwigizaji tishio wa Uchina anatumia tena vifaa vya ufikiaji wa mbali vya Ivanti kwa ujumla. Ikiwa ungekuwa na nikeli kwa kila udhaifu wa hali ya juu unaoathiri vifaa vya Ivanti mwaka jana, ungekuwa na nikeli nyingi. Kulikuwa na njia muhimu ya uthibitishaji katika Kidhibiti chake cha Trafiki cha Mtandao (vTM), hitilafu ya sindano ya SQL katika Kidhibiti chake cha Endpoint, sehemu tatu zinazoathiri Kifaa chake cha Huduma za Wingu (CSA), masuala muhimu na Sentry yake ya Kujitegemea na Neurons kwa Usimamizi wa Huduma ya IT (ITSM) , pamoja na kadhaa zaidi. Yote yalianza Januari iliyopita, wakati udhaifu mkubwa uligunduliwa katika lango la Ivanti la Connect Secure (ICS) na lango la Policy Secure. Kufikia wakati wa kufichuliwa, udhaifu huo tayari ulikuwa unatumiwa na mshukiwa kuwa muigizaji tishio wa uhusiano na Uchina, UNC5337, anayeaminika kuwa huluki ya UNC5221. Sasa, mwaka mmoja na ahadi moja ya usalama kwa muundo baadaye, watendaji tishio wamerejea tena kumsumbua Ivanti, kupitia udhaifu mpya katika ICS ambao unaathiri pia lango la Policy Secure na Neurons kwa Zero Trust Access (ZTA). Ivanti ameonya zaidi juu ya mdudu wa pili, mkali kidogo ambaye bado hajaonekana katika ushujaa. “Kwa sababu tu tunaziona hizi mara nyingi haimaanishi kuwa ni rahisi kujiondoa – ni kikundi cha hali ya juu ambacho kinafanya hivi,” Arctic Wolf CISO Adam Marrè anasema, akimtetea mchuuzi wa IT aliyekandamizwa. “Uhandisi sio rahisi, na uhandisi salama ni mgumu zaidi. Kwa hivyo, ingawa unaweza kuwa unafuata kanuni za usanifu salama-kwa-, hiyo haimaanishi kuwa mtu hataweza kuja pamoja na teknolojia mpya, au mbinu mpya, na wakati na rasilimali za kutosha, hack. ndani.” Kuhusiana:Changamoto Mpya za AI Zitajaribu CISO na Timu Zake mnamo 2025 2 Hitilafu Zaidi za Usalama katika Vifaa vya Ivanti Bado haijatumiwa (kama watafiti wanaweza kusema) ni CVE-2025-0283, fursa ya kufurika kwa buffer katika matoleo ya ICS kabla ya 22.7R2. 5, Ulinzi wa Sera kabla ya 22.7R1.2, na Neuroni za lango la ZTA hapo awali 22.7R2.3. Ukali wa “juu” wa 7.0 kati ya 10 uliokadiriwa katika Mfumo wa Ufungaji wa Athari za Kawaida (CVSS) unaweza kumwezesha mshambulizi kuongeza haki zake kwenye kifaa kinacholengwa, lakini inahitaji uidhinishwe kwanza. CVE-2025-0282 – ilikadiriwa “muhimu” 9.0 katika CVSS – haiji na tahadhari hiyo hiyo, kuruhusu utekelezaji wa msimbo kama mzizi bila uthibitishaji unaohitajika. Ivanti alifichua maelezo machache kuhusu sababu haswa ya suala hilo, lakini watafiti kutoka watchTowr waliweza kufanikiwa kubadilisha unyonyaji wa mhandisi baada ya kulinganisha matoleo ya ICS yaliyotiwa viraka na ambayo hayajachapishwa. Kuhusiana:Mazingatio Bora na Hatari katika LCNC na RPA Automation Kulingana na Mandiant, mwigizaji tishio alianza kutumia CVE-2025-0282 katikati ya Desemba, akitumia familia ile ile ya “Spawn” ya programu hasidi inayohusishwa na ushujaaji wa UNC5337 wa hitilafu za Ivanti za hapo awali. Zana hizo ni pamoja na: Kisakinishi cha SpawnAnt, ambacho hudondosha washirika wake wa programu hasidi na kuendelea kupitia uboreshaji wa mfumo wa SpawnMole, ambayo hurahisisha mawasiliano ya nyuma na nje na miundombinu ya mshambulizi SpawnSnail, ganda salama (SSH) la mlango wa nyuma wa SpawnSloth, ambalo huchezea kumbukumbu ili kuficha ushahidi. ya shughuli mbaya “Familia zisizo za muigizaji tishio zinaonyesha ujuzi muhimu wa kifaa cha Ivanti Connect Secure,” inasema. Mshauri mkuu wa Mandiant Matt Lin. Kwa kweli, kando na UNC5337 na chimbuko lake, watafiti pia waliona programu hasidi mbili ambazo hazihusiani lakini zile zile zilizosambazwa kwa vifaa vilivyoambukizwa. Moja – DryHook, hati ya Python – imeundwa ili kuiba vitambulisho vya mtumiaji kutoka kwa vifaa vinavyolengwa. Nyingine, PhaseJam, ni hati ya ganda la bash ambayo inawezesha utekelezaji wa amri ya mbali na ya kiholela. Ubunifu zaidi, ingawa, ni uwezo wake wa kudumisha ustahimilivu kupitia ujanja wa mkono. Msimamizi akijaribu kuboresha kifaa chake – mchakato ambao utafungua PhaseJam – programu hasidi itawaonyesha upau wa maendeleo bandia ambao unaiga kila hatua 13 ambazo mtu anaweza kutarajia katika sasisho halali. Wakati huo huo, kwa nyuma, inazuia sasisho halali kufanya kazi, na hivyo kuhakikisha kuwa inaishi siku nyingine. Kuhusiana:Wahalifu wa Mtandao Hawajali Sera ya Kitaifa ya Mtandao DryHook na PhaseJam inaweza kuwa kazi ya UNC5337, Mandiant alibainisha, au mwigizaji mwingine tishio kabisa. Wakati wa Kusasisha Data kutoka kwa Wakfu wa ShadowServer unapendekeza kuwa kaskazini mwa matukio 2,000 ya ICS yanaweza kuwa hatarini wakati wa kuandika, kukiwa na mkusanyiko mkubwa zaidi Marekani, Ufaransa na Uhispania. Chanzo: The Shadowserver Foundation Ivanti na Wakala wa Usalama wa Mtandao na Miundombinu (CISA) wamechapisha maagizo ya kupunguza CVE-2025-0282, na kusisitiza kwamba watetezi wa mtandao wanapaswa kuendesha Chombo cha Kukagua Uadilifu cha Ivanti (ICT) ili kutafuta maambukizo, na kutekeleza. patches mara moja. “Tumetoa kiraka kinachoshughulikia udhaifu unaohusiana na Ivanti Connect Secure,” msemaji wa Ivanti aliambia Kusoma kwa Giza. “Kumekuwa na unyonyaji mdogo wa udhaifu mmoja na tunafanya kazi kikamilifu na wateja walioathirika. ICT ya Ivanti imekuwa na ufanisi katika kutambua maelewano yanayohusiana na athari hii. Unyonyaji wa tishio wa waigizaji ulitambuliwa na ICT siku ile ile ulipotokea, na kuwezesha Ivanti kujibu mara moja na kutengeneza upesi kurekebisha. Tunawashauri sana wateja kufuatilia kwa karibu ICT yao ya ndani na nje kama sehemu ya mbinu thabiti na ya tabaka la usalama wa mtandao ili kuhakikisha uadilifu na usalama wa miundombinu yote ya mtandao.” Inafaa kukumbuka kuwa tofauti na ICS, lango la Policy Secure na ZTA halitapokea viraka vyake hadi Januari 21. Katika ushauri wake wa usalama, Ivanti alisema kuwa milango ya ZTA “haiwezi kutumiwa inapokuwa katika uzalishaji,” na kwamba Policy Secure ni. iliyoundwa ili kutozingatia Mtandao, kupunguza hatari ya unyonyaji kupitia CVE-2025-0282 au udhaifu kama huo. “Ni muhimu kwamba wasimamizi hapa wanafanya mambo yanayofaa,” Marrè anasema, akibainisha, “Hiyo inaweza kusababisha wakati fulani, ambayo inaweza kuwa na usumbufu kwa mashirika, ambayo inaweza kusababisha kuahirisha, au kutoirekebisha kikamilifu na kama vizuri kama wanavyopaswa.” Lin anaongeza, “Tumeona mashirika ambayo kihistoria yamechukua hatua mara moja katika kukabiliana na matishio haya hayakupata athari mbaya sawa ikilinganishwa na mashirika ambayo yameshindwa kufanya vivyo hivyo.” Pia anakubali, “Mizunguko yote inayofanyika nyuma mara moja ya viraka hivi inatangazwa. “Timu za usalama katika vyombo vyote lazima zihangaike sio tu kuweka kiraka, lakini pia kuelewa kama ziko hatarini, na ikiwa ni hivyo, zinahitaji tu kurekebisha, au tayari zimekiukwa? Na ikiwa zimekiukwa, hiyo huanza jibu lingine la tukio, ambalo hutengeneza mtiririko mkubwa wa kazi katika kampuni kote ulimwenguni. Ni muhimu kutosahau taabu na uchovu ambao watetezi wanapitia wakati wa kutathmini hali hizi na sio kukosoa sana nyakati zao za mwanzo za athari. URL ya Chapisho Asilia: https://www.darkreading.com/vulnerabilities-threats/critical-ivanti-rce-bug
Leave a Reply