Госструктуры страны могут подвергнуться крупнейшей утечки правительственных данных.
Агентство кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, ) директиву, призывающую агентства Федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) принять меры по смягчению последствий двух активно используемых уязвимостей нулевого дня в Connect Secure (ICS) и Ivanti Policy Secure (IPS).
Предупреждение появилось в связи с тем, что две уязвимости — обход аутентификации ( , оценка CVSS: 8.2) и ошибка внедрения кода ( , оценка CVSS: 9.1) — стали широко использоваться многими злоумышленниками. Недостатки позволяют атакующему создавать вредоносные запросы и выполнять произвольные команды в системе.
Ivanti признала, что «резкого увеличения активности субъектов угроз», начиная с 11 января 2024 года, после того как недостатки были публично раскрыты. Успешная эксплуатация уязвимостей позволяет киберпреступнику выполнять боковое перемещение (Lateral Movement), осуществлять кражу данных и обеспечивать постоянный доступ к системе, что приводит к полной компрометации целевых информационных систем.
Компания Ivanti, которая, как ожидается, выпустит обновление для устранения недостатков на следующей неделе, предоставила временный обходной путь через XML-файл, который можно импортировать в затронутые продукты для внесения необходимых изменений в конфигурацию.
CISA организации, использующие ICS, применить средства защиты и запустить внешний инструмент проверки целостности, чтобы выявить признаки компрометации, а в случае обнаружения отключить их от сетей и перезагрузить устройство с последующим импортом XML-файла.
Кроме того, организациям FCEB рекомендуется отозвать и перевыпустить любые сохраненные сертификаты, сбросить пароль администратора, сохранить ключи API и сбросить пароли любого локального пользователя, определенного на шлюзе.
Компании по кибербезопасности Volexity и Mandiant с использованием указанных недостатков для развертывания веб-оболочек и бэкдоров для постоянного доступа к зараженным устройствам. По оценкам, на сегодняшний день взломано около 2 100 устройств по всему миру.
Первоначальная волна атак зафиксирована в декабре 2023 года. С того момента к активной эксплуатации уязвимостей помимо подозреваемых ранее китайских государственных хакеров (UTA0178 или UNC5221) присоединилось множество новых группировок.
Подробнее:
Агентство кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, ) директиву, призывающую агентства Федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) принять меры по смягчению последствий двух активно используемых уязвимостей нулевого дня в Connect Secure (ICS) и Ivanti Policy Secure (IPS).
Предупреждение появилось в связи с тем, что две уязвимости — обход аутентификации ( , оценка CVSS: 8.2) и ошибка внедрения кода ( , оценка CVSS: 9.1) — стали широко использоваться многими злоумышленниками. Недостатки позволяют атакующему создавать вредоносные запросы и выполнять произвольные команды в системе.
Ivanti признала, что «резкого увеличения активности субъектов угроз», начиная с 11 января 2024 года, после того как недостатки были публично раскрыты. Успешная эксплуатация уязвимостей позволяет киберпреступнику выполнять боковое перемещение (Lateral Movement), осуществлять кражу данных и обеспечивать постоянный доступ к системе, что приводит к полной компрометации целевых информационных систем.
Компания Ivanti, которая, как ожидается, выпустит обновление для устранения недостатков на следующей неделе, предоставила временный обходной путь через XML-файл, который можно импортировать в затронутые продукты для внесения необходимых изменений в конфигурацию.
CISA организации, использующие ICS, применить средства защиты и запустить внешний инструмент проверки целостности, чтобы выявить признаки компрометации, а в случае обнаружения отключить их от сетей и перезагрузить устройство с последующим импортом XML-файла.
Кроме того, организациям FCEB рекомендуется отозвать и перевыпустить любые сохраненные сертификаты, сбросить пароль администратора, сохранить ключи API и сбросить пароли любого локального пользователя, определенного на шлюзе.
Компании по кибербезопасности Volexity и Mandiant с использованием указанных недостатков для развертывания веб-оболочек и бэкдоров для постоянного доступа к зараженным устройствам. По оценкам, на сегодняшний день взломано около 2 100 устройств по всему миру.
Первоначальная волна атак зафиксирована в декабре 2023 года. С того момента к активной эксплуатации уязвимостей помимо подозреваемых ранее китайских государственных хакеров (UTA0178 или UNC5221) присоединилось множество новых группировок.
Подробнее:
