Ivanti perspėja, kad įsilaužėliai išnaudojo „Connect Secure“ nuotolinio kodo vykdymo pažeidžiamumą, pažymėtą kaip CVE-2025-0282, per nulinės dienos atakas, siekdami įdiegti kenkėjiškas programas įrenginiuose.
Bendrovė teigia, kad apie pažeidžiamumą sužinojo po to, kai „Ivanti Integrity Checker Tool“ (ICT) aptiko kenkėjišką veiklą klientų įrenginiuose. Ivanti pradėjo tyrimą ir patvirtino, kad grėsmės veikėjai aktyviai išnaudojo CVE-2025-0282 kaip nulinę dieną.
CVE-2025-0282 yra kritinė (9.0) dėklo buferio perpildymo klaida „Ivanti Connect Secure“ iki 22.7R2.5 versijos, „Ivanti Policy Secure“ iki 22.7R1.2 versijos ir „Ivanti Neurons“, skirta ZTA šliuzams iki 22.7R2.3 versijos. kurios leidžia neautentifikuotam užpuolikui nuotoliniu būdu vykdyti kodą įrenginiuose.
Nors trūkumas turi įtakos visiems trims produktams, „Ivanti“ teigia, kad jis matė tik „Ivanti Connect Secure“ įrenginiuose.
„Žinome apie ribotą klientų „Ivanti Connect Secure“ prietaisų skaičių, kuriuos atskleidimo metu naudojo CVE-2025-0282“, – rašoma Ivanti tinklaraščio įraše.
„Mes nežinome, kad šie CVE būtų naudojami „Ivanti Policy Secure“ arba „Neurons for ZTA gateways“.
„Ivanti“ skubiai išleido „Ivanti Connect Secure“ saugos pataisas, kurios išspręstos programinės įrangos versijoje 22.7R2.5.
Tačiau šiandien paskelbtame saugos biuletenyje teigiama, kad „ZTA Gateways“ skirtos „Ivanti Policy Secure“ ir „Ivanti Neurons“ pataisos nebus paruoštos iki sausio 21 d.
„Ivanti Policy Secure“: šis sprendimas nėra skirtas naudoti internetu, todėl išnaudojimo rizika žymiai sumažėja. „Ivanti Policy Secure“ pataisa planuojama išleisti 2025 m. sausio 21 d. ir bus pasiekiama standartiniame atsisiuntimo portale. Klientai visada turėtų užtikrinti, kad jų IPS įrenginys būtų sukonfigūruotas pagal Ivanti rekomendacijas, o ne atskleisti jį internetui. Mes nežinome, kad šie CVE būtų naudojami Ivanti Policy Secure.
Ivanti Neurons, skirtas ZTA Gateways: Ivanti Neurons ZTA šliuzai negali būti naudojami, kai jie gaminami. Jei sugeneruojamas šio sprendimo šliuzas ir jis nėra prijungtas prie ZTA valdiklio, kyla pavojus, kad sugeneruotas šliuzas bus išnaudotas. Planuojama, kad pataisa bus išleista 2025 m. sausio 21 d. Mes nežinome, kad šie CVE būtų naudojami „ZTA Gateways“.
Bendrovė rekomenduoja visiems „Ivanti Connect Secure“ administratoriams atlikti vidinius ir išorinius IRT nuskaitymus.
Jei nuskaitymai yra švarūs, „Ivanti“ vis tiek rekomenduoja administratoriams iš naujo nustatyti gamyklinius nustatymus prieš atnaujinant į „Ivanti Connect Secure 22.7R2.5“.
Tačiau jei nuskaitymai rodo kompromiso požymius, Ivanti teigia, kad gamyklos atstatymas turėtų pašalinti visas įdiegtas kenkėjiškas programas. Tada prietaisas turėtų būti vėl pradėtas gaminti naudojant 22.7R2.5 versiją
Šiandieniniai saugos naujinimai taip pat ištaiso antrąjį pažeidžiamumą, pažymėtą CVE-2025-0283, kuris, pasak Ivanti, šiuo metu nėra išnaudojamas arba nesusietas su CVE-2025-0282. Ši klaida leidžia autentifikuotam vietiniam užpuolikui išplėsti savo teises.
Kadangi Ivanti bendradarbiauja su „Mandiant“ ir „Microsoft Threat Intelligence Center“, kad ištirtų atakas, greičiausiai netrukus pamatysime ataskaitas apie aptiktą kenkėjišką programą.
„BleepingComputer“ susisiekė su Ivanti ir pateikė daugiau klausimų apie atakas ir atnaujins šią istoriją, jei gausime atsakymą.
Spalio mėn. „Ivanti“ išleido saugos naujinimus, kad ištaisytų tris „Cloud Services Appliance“ (CSA) nulines dienas, kurios buvo aktyviai naudojamos atakoms.
