Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Admin alarm. Atakujący przejmują zdalne dostępy do firm. Kolejne krytyczne podatności 0day. Ivanti Connect Secure VPN.
Co ciekawe – nie pomoże nawet aktualizacja urządzenia – atakujący symulują że niby aktualizacja miała miejsce tymczasem…nic się nie dzieje (tj. atakujący dalej buszują po sieci).
Luka CVE-2025-0282 daje możliwość zdalnego wykonania kodu (bez konieczności uwierzytelnienia). Podatność jest klasy buffer overflow. Luka CVE-2025-0283 to eskalacja uprawnień do uprawnień admina na urządzeniu.
Połączenie obu luk w parę sekund daje pełne, zdalne uprawnienia administracyjne na podatnym urządzeniu i zapewnia nieautoryzowany, zdalny dostęp do firmy. Spoiler: nie pomogą tutaj silne hasła czy 2FA.
Podatności są aktywnie exploitowane ale na razie pojawił się alarm nieco „na wariata”. W sensie trwa analiza ataków, próby namierzenia kto przejmuje organizacje ~na całym świecie (wstępnie wskazuje się na Chiny), etc. Wiemy na pewno że exploit pack:
* Blokuje aktualizacje urządzenia / a nawet w przypadku odpalenia aktualizacji ❌ symuluje, że niby ona się odbyła (!)
* Wyłącza SELinux na urządzeniu
* Wyłącza logowanie istotnych zdarzeń
* Backdooruje trwale urządzenie (zapewnia zdalny dostęp atakującym, nawet po restarcie urządzenia)
* Zawiera paczkę narzędzi umożliwiających rekonesans / atakowanie sieci lokalnych celu
* Zawiera moduł kradnący dane logowania
Producent udostępnił łatki i specjalne narzędzie do analizy urządzeń pod kątem ich ewentualnej infekcji.
Ostatnimi czasy Ivanti Connect Secure nie ma dobrej prasy – w zeszłym roku informowaliśmy choćby o takich tematach:
- Zhackowana amerykańska agencja odpowiedzialna za cyberbezpieczeństwo (CISA). Zaatakowali system VPN.
- Zhackowali sieć jednej z najbezpieczniejszych firm na świecie – MITRE. Ominęli dwuczynnikowe uwierzytelnienie. Do sieci badawczej NERVE dostali się przez podatny system VPN.
- Alert CISA: agencje rządowe USA mają w trybie pilnym odłączyć systemy VPNowe Ivanti
- Dwa zero daye umożliwiają zdalne przejęcie kontroli nad urządzeniem VPN (Ivanti Connect Secure / Pulse Secure). Podatności są już wykorzystywane w dziczy
~Michał Sajdak
Pamietam jak Ivanti nazywalo sie jeszcze PulseSecure, to zawsze byl smietnik ze slabym Indyjskim „wsparciem”
Szanowni Państwo,
Jestem Waszym wiernym czytelnikiem od kilku lat i mam prośbę, zatrudnijcie w końcu korektora, który będzie sprawdzał Wasze teksty. To już nie pierwszy wpis, w którym pojawiają się literówki. „Invanti”? Naprawdę?
Jest już taka formacja gdzie biorą po 1 umiejącym czytać a 2 jest od pisania. Zawsze chodzą w parach.