بدأ المتسللون الخبيثون في الاستغلال الشامل اثنين من نقاط الضعف الحرجة في يوم الصفر في جهاز VPN للشركات المستخدم على نطاق واسع من Ivanti.
هذا وفقًا لشركة الأمن السيبراني Volexity، التي ذكرت لأول مرة الأسبوع الماضي أن المتسللين المدعومين من الدولة الصينية يستغلون العيبين غير المصححين في Ivanti Connect Secure – يتم تعقبها كـ CVE-2023-46805 وCVE-2024-21887 — لاقتحام شبكات العملاء وسرقة المعلومات. في ذلك الوقت، قالت إيفانتي إنها كانت على علم بأن “أقل من 10 عملاء” تأثروا بعيوب “يوم الصفر”، والتي تم وصفها على هذا النحو نظرًا لأن إيفانتي لم يكن لديها الوقت لإصلاح العيوب قبل استغلالها.
في منشور مدونة محدث تم نشره يوم الاثنينوتقول شركة Volexity أن لديها الآن أدلة على الاستغلال الجماعي.
وفقًا لشركة Volexity، تم استغلال أكثر من 1700 جهاز Ivanti Connect Secure في جميع أنحاء العالم حتى الآن، مما أثر على المؤسسات بما في ذلك صناعات الطيران والبنوك والدفاع والحكومة والاتصالات.
وقال Volexity: “يتم توزيع الضحايا عالميًا ويختلفون بشكل كبير في الحجم، بدءًا من الشركات الصغيرة وحتى بعض أكبر المؤسسات في العالم، بما في ذلك العديد من شركات Fortune 500 عبر قطاعات صناعية متعددة”. وأضاف باحثو الشركة الأمنية أن أجهزة Ivanti VPN “تم استهدافها بشكل عشوائي” مع ضحايا الشركات في جميع أنحاء العالم.
لكن Volexity يشير إلى أن عدد المنظمات المعرضة للخطر من المرجح أن يكون أعلى بكثير. مؤسسة Shadowserver لتعقب التهديدات الأمنية غير الربحية يحتوي على بيانات توضح أكثر من 17000 جهاز Ivanti VPN الذي يمكن رؤيته عبر الإنترنت في جميع أنحاء العالم، بما في ذلك أكثر من 5000 جهاز في الولايات المتحدة.
إيفانتي وأكدت في تقريرها المحدث يوم الثلاثاء أن النتائج التي توصلت إليها “متوافقة” مع ملاحظات Volexity الجديدة وأن عمليات الاختراق الجماعية يبدو أنها بدأت في 11 يناير، أي بعد يوم واحد من كشف Ivanti عن نقاط الضعف. وفي بيان تم تقديمه عبر وكالة العلاقات العامة MikeWorldWide، قالت إيفانتي لـ TechCrunch إنها “شهدت زيادة حادة في نشاط الجهات الفاعلة في مجال التهديد وعمليات فحص الباحثين الأمنيين”.
عندما تم الوصول إلى المتحدث باسم Volexity، كريستيل فارس، يوم الثلاثاء، أخبر موقع TechCrunch أن الشركة الأمنية على اتصال بشركة Ivanti، التي “تستجيب للزيادة في طلبات الدعم في أسرع وقت ممكن”.
على الرغم من الاستغلال الشامل، لم تنشر إيفانتي تصحيحات بعد. وقالت شركة Ivanti إنها تخطط لإصدار الإصلاحات على أساس “متدرج” بدءًا من الأسبوع الذي يبدأ في 22 يناير. وفي غضون ذلك، يُنصح المسؤولون بتطبيق إجراءات التخفيف التي تقدمها Ivanti على جميع أجهزة VPN المتأثرة على شبكتهم. توصي Ivanti المسؤولين بإعادة تعيين كلمات المرور ومفاتيح API، وإلغاء وإعادة إصدار أي شهادات مخزنة على الأجهزة المتضررة.
لا توجد برامج فدية… حتى الآن
عزت شركة Volexity في البداية استغلال برنامجي Ivanti Zero-Days إلى مجموعة قرصنة مدعومة من الصين تتتبعها باسم UTA0178. وقالت Volexity إن لديها أدلة على الاستغلال في وقت مبكر من 3 ديسمبر.
مانديانت، وهو وتتبع أيضًا استغلال نقاط الضعف في Ivantiوقالت إنها لم تربط الاستغلال بمجموعة قرصنة معروفة سابقًا، لكنها قالت إن النتائج التي توصلت إليها – جنبًا إلى جنب مع نتائج Volexity – تقود شركة Mandiant إلى إسناد عمليات الاختراق إلى “حملة APT ذات دوافع تجسسية”، مما يشير إلى تورط مدعوم من الحكومة.
المرونة قال هذا الاسبوع أنها شهدت مجموعات قرصنة إضافية – على وجه التحديد مجموعة تسميها UTA0188 – تستغل العيوب لاختراق الأجهزة الضعيفة، لكنها رفضت مشاركة تفاصيل إضافية حول المجموعة – أو دوافعها – عندما سألتها TechCrunch.
أخبرت Volexity موقع TechCrunch أنها لم تر أي دليل على تورط برامج الفدية في عمليات الاختراق الجماعية في هذه المرحلة. وأضاف فارس: “ومع ذلك، فإننا نتوقع حدوث ذلك تمامًا إذا أصبح كود إثبات المفهوم متاحًا للعامة”.
لقد قام الباحثون الأمنيون أشار بالفعل إلى وجود رمز إثبات المفهوم قادرة على استغلال إيفانتي صفر يوما.