يبدأ المتسللون في استغلال عيوب Ivanti VPN على نطاق واسع
بدأ المتسللون الخبيثون في استغلال اثنتين من نقاط الضعف الحرجة في يوم الصفر في جهاز VPN الخاص بشركة Ivanti والمستخدم على نطاق واسع.
هذا وفقًا لشركة الأمن السيبراني Volexity، التي ذكرت لأول مرة الأسبوع الماضي أن المتسللين المدعومين من الدولة الصينية يستغلون العيبين غير المصحّحين في Ivanti Connect Secure – المتتبعين باسم CVE-2023-46805 وCVE-2024-21887 – لاقتحام شبكات العملاء وسرقة المعلومات. معلومة. في ذلك الوقت، قالت إيفانتي إنها كانت على علم بأن “أقل من 10 عملاء” تأثروا بعيوب “يوم الصفر”، والتي تم وصفها على هذا النحو نظرًا لأن إيفانتي لم يكن لديها الوقت لإصلاح العيوب قبل استغلالها.
وفي تدوينة محدثة نُشرت يوم الاثنين، قالت شركة Volexity أن لديها الآن أدلة على الاستغلال الجماعي.
وفقًا لشركة Volexity، تم استغلال أكثر من 1700 جهاز Ivanti Connect Secure في جميع أنحاء العالم حتى الآن، مما أثر على المؤسسات بما في ذلك صناعات الطيران والبنوك والدفاع والحكومة والاتصالات.
وقال Volexity: “يتم توزيع الضحايا عالميًا ويختلفون بشكل كبير في الحجم، بدءًا من الشركات الصغيرة وحتى بعض أكبر المؤسسات في العالم، بما في ذلك العديد من شركات Fortune 500 عبر قطاعات صناعية متعددة”. وأضاف باحثو الشركة الأمنية أن أجهزة Ivanti VPN “تم استهدافها بشكل عشوائي” مع ضحايا الشركات في جميع أنحاء العالم.
لكن Volexity يشير إلى أن عدد المنظمات المعرضة للخطر من المرجح أن يكون أعلى بكثير. تمتلك مؤسسة Shadowserver Foundation، وهي مؤسسة غير ربحية لتعقب التهديدات الأمنية، بيانات تُظهر أكثر من 17000 جهاز Ivanti VPN مرئي عبر الإنترنت في جميع أنحاء العالم، بما في ذلك أكثر من 5000 جهاز في الولايات المتحدة.
وأكدت شركة Ivanti في تقريرها المحدث يوم الثلاثاء أن النتائج التي توصلت إليها “متوافقة” مع ملاحظات Volexity الجديدة وأن الاختراقات الجماعية يبدو أنها بدأت في 11 يناير، أي بعد يوم واحد من كشف Ivanti عن نقاط الضعف. وفي بيان تم تقديمه عبر وكالة العلاقات العامة MikeWorldWide، قالت إيفانتي لـ TechCrunch إنها “شهدت زيادة حادة في نشاط الجهات الفاعلة في مجال التهديد وعمليات فحص الباحثين الأمنيين”.
عندما تم الوصول إلى المتحدث باسم Volexity، كريستيل فارس، يوم الثلاثاء، أخبر موقع TechCrunch أن الشركة الأمنية على اتصال بشركة Ivanti، التي “تستجيب للزيادة في طلبات الدعم في أسرع وقت ممكن”.
على الرغم من الاستغلال الشامل، لم تنشر إيفانتي تصحيحات بعد. وقالت Ivanti إنها تخطط لإصدار الإصلاحات على أساس “متدرج” بدءًا من الأسبوع الذي يبدأ في 22 يناير. وفي غضون ذلك، يُنصح المسؤولون بتطبيق إجراءات التخفيف التي تقدمها Ivanti على جميع أجهزة VPN المتأثرة على شبكتهم. توصي Ivanti المسؤولين بإعادة تعيين كلمات المرور ومفاتيح API، وإلغاء وإعادة إصدار أي شهادات مخزنة على الأجهزة المتضررة.
لا توجد برامج فدية… حتى الآن
عزت شركة Volexity في البداية استغلال برنامجي Ivanti Zero-Days إلى مجموعة قرصنة مدعومة من الصين تتتبعها باسم UTA0178. وقالت Volexity إن لديها أدلة على الاستغلال في وقت مبكر من 3 ديسمبر.
وقالت شركة Mandiant، التي تتعقب أيضًا استغلال ثغرات Ivanti، إنها لم تربط الاستغلال بمجموعة قرصنة معروفة سابقًا، لكنها قالت إن النتائج التي توصلت إليها – جنبًا إلى جنب مع نتائج Volexity – تقود Mandiant إلى إسناد الاختراقات إلى “حملة APT ذات دوافع تجسسية، مما يشير إلى تورط مدعوم من الحكومة.
قالت Volexity هذا الأسبوع إنها شاهدت مجموعات قرصنة إضافية – على وجه التحديد مجموعة تسميها UTA0188 – تستغل العيوب لاختراق الأجهزة الضعيفة، لكنها رفضت مشاركة تفاصيل إضافية حول المجموعة – أو دوافعها – عندما سألتها TechCrunch.
أخبرت Volexity موقع TechCrunch أنها لم تر أي دليل على تورط برامج الفدية في عمليات الاختراق الجماعية في هذه المرحلة. وأضاف فارس: “ومع ذلك، فإننا نتوقع حدوث ذلك تمامًا إذا أصبح كود إثبات المفهوم متاحًا للعامة”.
وقد أشار الباحثون الأمنيون بالفعل إلى وجود كود إثبات المفهوم قادر على استغلال أيام الصفر الخاصة بـ Ivanti.
