قام Ivanti بتصحيح يومين صفر تحت الهجوم، لكنه وجد يومًا آخر
حذرت Ivanti يوم الأربعاء من أن المتسللين يستغلون ثغرة أمنية أخرى لم يتم الكشف عنها سابقًا والتي تؤثر على جهاز VPN الخاص بالشركة المستخدم على نطاق واسع.
منذ أوائل ديسمبر، يستغل المتسللون المدعومين من الدولة الصينية عيوب Ivanti Connect Secure – التي يتم تتبعها باسم CVE-2023-46805 وCVE-2024-21887 – لاقتحام شبكات العملاء وسرقة المعلومات.
تحذر شركة Ivanti الآن من اكتشاف عيبين إضافيين – تتبع CVE-2024-21888 وCVE-2024-21893 – مما يؤثر على منتج Connect Secure VPN الخاص بها. توصف الأولى بأنها ثغرة أمنية لتصعيد الامتيازات، في حين أن الثانية – المعروفة باسم “يوم الصفر” لأن Ivanti لم يكن لديها الوقت لإصلاح الخطأ قبل أن يبدأ المتسللون في استغلالها – هي ثغرة من جانب الخادم تسمح للمهاجم بالوصول إلى بعض الموارد المقيدة بدون مصادقة.
وفي كشفها المحدث، قالت Ivanti إنها لاحظت استغلالًا “مستهدفًا” للخلل من جانب الخادم. وقال المكتب الاتحادي الألماني لأمن المعلومات، المعروف باسم BSI، في تقرير استشاري مترجم يوم الأربعاء، إن لديه معرفة “بالأنظمة المتعددة المخترقة”.
وأضاف BSI أن الثغرات الأمنية المكتشفة حديثًا، وخاصة الخطأ من جانب الخادم، “تعرض جميع الأنظمة التي تم تخفيفها مسبقًا للخطر مرة أخرى”. وأكدت شركة Ivanti أنها تتوقع “زيادة حادة في الاستغلال” بمجرد الإعلان عن تفاصيل الثغرة الأمنية.
ولم ينسب إيفانتي هذه التطفلات إلى مجموعة تهديد معينة. ونسبت شركتا الأمن السيبراني Volexity وMandiant في السابق استغلال الجولة الأولى من أخطاء Connect Secure إلى مجموعة قرصنة مدعومة من الحكومة الصينية بدافع التجسس. وقالت Volexity أيضًا إنها لاحظت وجود مجموعات قرصنة إضافية تستغل الأخطاء بشكل نشط.
قامت شركة Ivanti بتحديث عدد العملاء المتأثرين إلى “أقل من 20”. وعندما تواصلت معها TechCrunch يوم الأربعاء، لم تذكر كارينا جارج، المتحدثة باسم الوكالة التي تمثل Ivanti، عدد العملاء المتأثرين بالثغرات الجديدة.
ومع ذلك، قالت شركة Volexity في وقت سابق من هذا الشهر إن ما لا يقل عن 1700 جهاز Ivanti Connect Secure في جميع أنحاء العالم قد تم استغلالها من خلال الجولة الأولى من العيوب، مما أثر على المنظمات في مجالات الطيران والبنوك والدفاع والحكومة والاتصالات، على الرغم من أن العدد من المرجح أن يكون بعيدًا. أعلى.
وينطبق هذا بشكل خاص في ضوء تقرير CISA الصادر يوم الثلاثاء، والذي حذر من أن المهاجمين تجاوزوا الحلول البديلة لأساليب التخفيف والكشف الحالية.
يأتي كشف Ivanti عن برنامج Zero-Day الجديد في نفس اليوم الذي أصدرت فيه الشركة تصحيحًا للحماية من ثغرات Connect Secure التي تم الكشف عنها مسبقًا – والتي تم استغلالها لاحقًا على نطاق واسع -، وإن كان ذلك بعد أسبوع من الموعد الذي خططت له الشركة في الأصل. صرح المتحدث باسم Ivanti Garg لـ TechCrunch أن التصحيحات تحمي أيضًا من الثغرات الأمنية الجديدة التي تم الكشف عنها يوم الأربعاء.
من غير الواضح ما إذا كان التصحيح متاحًا لجميع مستخدمي Ivanti Connect Secure، حيث قالت الشركة سابقًا إنها تخطط لإصدار التصحيح على أساس “متدرج” بدءًا من 22 يناير. وتنصح Ivanti الآن العملاء “بإعادة ضبط أجهزتهم في المصنع قبل تطبيق التصحيح”. التصحيح لمنع جهة التهديد من اكتساب استمرارية الترقية في بيئتك.
