Ivanti исправляет серьезную уязвимость в Connect Secure

Недавно компания Ivanti выпустила исправление для критической уязвимости в VPN Connect Secure. По данным Mandiant, этой уязвимостью пользуются хакеры из Китая.

В ICS 9.X (не поддерживается) и 22.7R2.5 и более ранних версиях были обнаружены две новые разновидности вредоносных программ TRAILBLAZE и BUSHFIRE. Первая - это дроппер, работающий только в оперативной памяти, а вторая - пассивный бэкдор.

Исследователи также наблюдали, как киберпреступники сбрасывают вредоносное ПО из экосистемы SPAWN. UNC5221 — известная группа кибершпионов, связанная с Китаем, которая неоднократно атаковала уязвимые экземпляры Ivanti.

Например, в начале января этого года Ivanti сообщила о том, что две уязвимости — CVE-2025-0282 и CVE-2025-0283 — использовались этой группой. Обе уязвимости затрагивали VPN-устройства Connect Secure. В этих атаках также использовались варианты SPAWN.

Mandiant говорит, что CVE, вероятно, впервые был использован в середине марта 2025 года, через месяц после того, как было выпущено исправление. "Мы полагаем, что группа злоумышленников изучила исправление уязвимости в ICS 22.7R2.6 и в результате сложного процесса выяснила, что можно эксплуатировать 22.7R2.5 и более ранние версии для выполнения кода удаленно", — говорится в заявлении исследователей.

Ivanti выпустила исправления для уязвимостей, которыми воспользовались злоумышленники, и ее клиентам рекомендуется немедленно обновить свои устройства, поскольку эти уязвимости активно используются.