يقول الباحثون إن المهاجمين يستغلون ثغرة Ivanti VPN الجديدة على نطاق واسع
بدأ المتسللون في استغلال ثغرة أمنية ثالثة على نطاق واسع تؤثر على جهاز VPN المؤسسي المستخدم على نطاق واسع من Ivanti، حسبما تظهر البيانات العامة الجديدة.
في الأسبوع الماضي، قالت Ivanti إنها اكتشفت عيبين أمنيين جديدين – تم تتبعهما باسم CVE-2024-21888 وCVE-2024-21893 – مما يؤثر على Connect Secure، وهو حل VPN للوصول عن بعد والذي تستخدمه آلاف الشركات والمؤسسات الكبيرة في جميع أنحاء العالم. وفقًا لموقعها الإلكتروني، لدى Ivanti أكثر من 40 ألف عميل، بما في ذلك الجامعات ومنظمات الرعاية الصحية والبنوك، التي تسمح تقنيتها لموظفيها بتسجيل الدخول من خارج المكتب.
جاء هذا الكشف بعد وقت قصير من تأكيد Ivanti على وجود خللين سابقين في Connect Secure، يتم تتبعهما باسم CVE-2023-46805 وCVE-2024-21887، والتي قال باحثون أمنيون إن المتسللين المدعومين من الصين كانوا يستغلونها منذ ديسمبر لاقتحام شبكات العملاء وسرقة المعلومات. .
الآن، تظهر البيانات أن أحد العيوب المكتشفة حديثًا – CVE-2024-21893، وهو خلل في تزوير الطلب من جانب الخادم – يتم استغلاله على نطاق واسع.
على الرغم من أن شركة Ivanti قامت منذ ذلك الحين بتصحيح الثغرات الأمنية، إلا أن الباحثين الأمنيين يتوقعون حدوث المزيد من التأثير على المؤسسات مع قيام المزيد من مجموعات القرصنة باستغلال الخلل. حذر ستيفن أدير، مؤسس شركة Volexity للأمن السيبراني، وهي شركة أمنية تتعقب استغلال ثغرات Ivanti، من أن رمز استغلال إثبات المفهوم أصبح الآن عامًا، “من المحتمل أن تكون أي أجهزة غير مصححة يمكن الوصول إليها عبر الإنترنت قد تعرضت للاختراق عدة مرات على مدار “.
صرح Piotr Kijewski، الرئيس التنفيذي لمؤسسة Shadowserver Foundation، وهي منظمة غير ربحية تقوم بمسح ومراقبة الإنترنت بحثًا عن الاستغلال، لـ TechCrunch يوم الخميس أن المنظمة لاحظت أكثر من 630 عنوان IP فريدًا يحاول استغلال الخلل من جانب الخادم، والذي يسمح للمهاجمين بالوصول. للبيانات الموجودة على الأجهزة الضعيفة.
هذه زيادة حادة مقارنة بالأسبوع الماضي عندما قال Shadowserver لقد لاحظت 170 عنوان IP فريدًا محاولة استغلال الثغرة الأمنية.
يُظهر تحليل الخلل الجديد من جانب الخادم أنه يمكن استغلال الخطأ لتجاوز إجراءات التخفيف الأصلية لـ Ivanti لسلسلة الاستغلال الأولية التي تتضمن أول اثنتين من نقاط الضعف، مما يجعل عمليات التخفيف ما قبل التصحيح هذه موضع نقاش بشكل فعال.
وأضاف Kijewski أن Shadowserver يراقب حاليًا حوالي 20800 جهاز Ivanti Connect Secure المعرضة للإنترنت، بانخفاض عن 22500 الأسبوع الماضي، على الرغم من أنه أشار إلى أنه من غير المعروف عدد أجهزة Ivanti المعرضة للاستغلال.
ليس من الواضح من يقف وراء الاستغلال الجماعي، لكن الباحثين الأمنيين أرجعوا استغلال أول ثغرتين في Connect Secure إلى مجموعة قرصنة مدعومة من الحكومة الصينية من المحتمل أن يكون الدافع وراءها هو التجسس.
وقالت شركة Ivanti سابقًا إنها على علم بالاستغلال “المستهدف” للخلل من جانب الخادم الذي يستهدف “عددًا محدودًا من العملاء”. على الرغم من الطلبات المتكررة من TechCrunch هذا الأسبوع، لم يعلق Ivanti على التقارير التي تفيد بأن الخلل يخضع لاستغلال جماعي، لكنه لم يشكك في النتائج التي توصل إليها Shadowserver.
بدأت Ivanti في إصدار تصحيحات للعملاء لجميع نقاط الضعف إلى جانب مجموعة ثانية من عمليات التخفيف في وقت سابق من هذا الشهر. ومع ذلك، تشير شركة Ivanti في تحذيرها الأمني - الذي تم تحديثه آخر مرة في 2 فبراير – إلى أنها “تصدر تصحيحات لأكبر عدد من عمليات التثبيت أولاً ثم تستمر في الترتيب التنازلي”.
من غير المعروف متى ستوفر شركة Ivanti التصحيحات لجميع عملائها المحتملين المعرضين للخطر.
تأتي التقارير عن استغلال خلل آخر في Ivanti على نطاق واسع بعد أيام من قيام وكالة الأمن السيبراني الأمريكية CISA بإصدار أمر للوكالات الفيدرالية بفصل جميع أجهزة Ivanti VPN بشكل عاجل. وشهد تحذير الوكالة منح وكالة CISA للوكالات يومين فقط لفصل الأجهزة، مشيرة إلى “التهديد الخطير” الذي تشكله نقاط الضعف تحت الهجوم النشط.
