Продукты Ivanti вновь стали мишенью опасных вредоносных программ

Агентство кибербезопасности инфраструктуры и безопасности (CISA) предупреждает о новом вредоносном ПО, нацеленном на уязвимые продукты Ivanti. Несколько продуктов, уязвимых к ошибке 2024 года, подвергаются атакам. Вредоносное ПО может создавать веб-оболочки, красть учетные данные и многое другое.

Несколько продуктов Ivanti подвергаются атакам вредоносного ПО под названием RESURGE, сообщает новое уведомление о безопасности, опубликованное CISA, в котором подробно описывается как само вредоносное ПО, так и уязвимость, используемая для его распространения. RESURGE является вариантом SPAWNCHIMERA, вредоносного ПО, нацеленного на устройства Ivanti Connect Secure, позволяющего получать несанкционированный доступ и постоянный контроль над уязвимыми конечными точками.

Хотя RESURGE также может выдерживать перезагрузки, вредоносное ПО также может создавать веб-оболочки, изменять проверки целостности, изменять файлы и использовать веб-оболочки для кражи учетных данных, создания учетных записей, сброса паролей и повышения привилегий.

RESURGE также может копировать веб-оболочку на загрузочный диск Ivanti и изменять загружаемое изображение coreboot. Для заражения устройств RESURGE злоумышленники используют CVE-2025-0282, критическую ошибку переполнения буфера на стеке в Ivanti Connect Secure, Policy Secure и Neurons for ZTA gateways. Она позволяет удаленным незарегистрированным атакующим выполнять произвольный код и используется с середины декабря 2024 года.

CISA добавило угрозу в свой каталог KEV в начале января 2025 года, отметив, что уязвимое программное обеспечение включает Ivanti Connect Secure (раньше версии 22.7R2.5), Ivanti Policy Secure (раньше версии 22.7R1.2) и Ivanti Neurons for ZTA gateways (раньше версии 22.7R2.3).

CISA рекомендует ряд мер для смягчения риска. «Для максимальной уверенности выполните сброс до заводских настроек», - говорится в уведомлении. «Для систем Cloud и Virtual выполните сброс до заводских настроек, используя внешний образ устройства, который считается чистым».

Кроме того, пользователям следует сбросить учетные данные привилегированных и непривилегированных учетных записей, сбросить пароли для всех пользователей домена и всех локальных учетных записей, проверить политики доступа, чтобы временно отозвать привилегии/доступ для затронутых устройств, сбросить соответствующие учетные данные или ключи доступа и отслеживать связанные учетные записи, особенно административные учетные записи.