Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wprowadzenie do bezpieczeństwa IT od sekuraka!

Wprowadzenie do bezpieczeństwa IT

Admin alarm. Atakujący przejmują zdalne dostępy do firm. Kolejne krytyczne podatności 0day. Ivanti Connect Secure VPN.

09 stycznia 2025, 09:14 | W biegu | 0 komentarzy
Tagi: , , , ,

Co ciekawe – nie pomoże nawet aktualizacja urządzenia – atakujący symulują że niby aktualizacja miała miejsce tymczasem…nic się nie dzieje (tj. atakujący dalej buszują po sieci).

Luka CVE-2025-0282 daje możliwość zdalnego wykonania kodu (bez konieczności uwierzytelnienia). Podatność jest klasy buffer overflow. Luka CVE-2025-0283 to eskalacja uprawnień do uprawnień admina na urządzeniu.

Połączenie obu luk w parę sekund daje pełne, zdalne uprawnienia administracyjne na podatnym urządzeniu i zapewnia nieautoryzowany, zdalny dostęp do firmy. Spoiler: nie pomogą tutaj silne hasła czy 2FA.

Podatności są aktywnie exploitowane ale na razie pojawił się alarm nieco „na wariata”. W sensie trwa analiza ataków, próby namierzenia kto przejmuje organizacje ~na całym świecie (wstępnie wskazuje się na Chiny), etc. Wiemy na pewno że exploit pack:

* Blokuje aktualizacje urządzenia / a nawet w przypadku odpalenia aktualizacji ❌ symuluje, że niby ona się odbyła (!)
* Wyłącza SELinux na urządzeniu
* Wyłącza logowanie istotnych zdarzeń
* Backdooruje trwale urządzenie (zapewnia zdalny dostęp atakującym, nawet po restarcie urządzenia)
* Zawiera paczkę narzędzi umożliwiających rekonesans / atakowanie sieci lokalnych celu
* Zawiera moduł kradnący dane logowania

Producent udostępnił łatki i specjalne narzędzie do analizy urządzeń pod kątem ich ewentualnej infekcji.

Ostatnimy czasy Invanti Connect Secure nie ma dobrej prasy – w zeszłym roku informowaliśmy choćby o takich tematach:

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz