28/04/25
Пользователям VPN-сервисов Ivanti стоит быть начеку: по данным компании GreyNoise, отслеживающей активность в интернете, за последнюю неделю число IP-адресов, сканирующих системы Ivanti Connect Secure и Pulse Secure, выросло на 800 процентов. Специалисты объясняют, что такие всплески обычно предшествуют либо активной эксплуатации уязвимостей, либо их публичному раскрытию.
Обычно число уникальных IP-адресов, сканирующих VPN-сервисы Ivanti, в сутки не превышает 30, а иногда остаётся и вовсе в пределах единичных запросов. Однако 18 апреля GreyNoise зафиксировала резкий скачок: 234 IP-адреса одновременно сканировали конечные точки Ivanti. Для сравнения, за последние 90 дней в общей сложности было замечено 1004 уникальных IP-адреса, причём почти четверть всей активности за три месяца пришлась на один день.
Из этих 1004 IP-адресов GreyNoise классифицировала 634 как "подозрительные", 244 как "вредоносные" и только 126 как "безопасные". По мнению аналитиков, такой резкий рост активности может указывать на координированную разведку перед возможной атакой.
История Connect Secure в последнее время вызывает много вопросов у специалистов по безопасности. Хотя пока нет подтверждений о наличии новых уязвимостей, GreyNoise отмечает, что аналогичные всплески активности уже не раз наблюдались перед публикацией новых багов. Ivanti Connect Secure остаётся привлекательной целью для злоумышленников из-за своей важной роли в организации удалённого доступа в корпоративные сети.
Компания Ivanti в ответ на запрос The Register напомнила, что поддержка устройств Pulse Secure и старых версий Connect Secure 9.1 Rx прекращена. Вендор подчеркнул, что продукты, достигшие конца срока поддержки, особенно уязвимы для атак на известные уязвимости, поскольку больше не получают обновления безопасности. Ivanti призывает пользователей как можно скорее переходить на поддерживаемые версии. При этом компания отметила, что активно предпринимает шаги, чтобы стимулировать клиентов к обновлению.
GreyNoise, в свою очередь, советует администраторам внимательно проверять журналы событий на предмет подозрительных попыток входа и своевременно устанавливать все доступные обновления безопасности.
Кроме того, на фоне январских событий появились сообщения о заражении устройств Ivanti новым вредоносным ПО DslogdRAT. Хотя окончательной уверенности нет, эксперты подозревают, что это может быть связано с той же китайской хакерской группировкой UNC5221, которая стояла за аналогичными атаками в январе 2024 года. Тогда ситуация была ещё сложнее, так как Ivanti долго откладывала выпуск патчей, и многие клиенты оставались без защиты в течение недель после раскрытия уязвимостей.
