Хакеры продолжают взламывать сети, используя старые уязвимости Ivanti.

### CISA и ФБР выпустили новое предупреждение о старых уязвимостях Ivanti — Уведомление касается эксплуатируемых уязвимостей в координированных атаках. — Проблемы были исправлены в сентябре и октябре, рекомендуются обновления. — Недавно Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) и ФБР заявили, что уязвимости в Ivanti Cloud Service Appliance (CSA), которые были обнаружены и исправлены ранее, все еще активно используются для взлома сетей. В предупреждении говорится о том, что злоумышленники объединяют четыре разных уязвимости: CVE-2024-8963 и CVE-2024-8190 в одном случае, и CVE-2024-9379 и CVE-2024-9380 в другом. «Злоумышленники объединяют указанные уязвимости для первоначального доступа, удаленного выполнения кода, получения учетных данных и установки веб-шеллов на сетях жертв,» — сообщают агентства. ### Компрометация учетных данных Эти уязвимости активно использовались, когда они были нулевыми днями. CISA внесло их в каталог эксплуатируемых уязвимостей, заставив федеральные агентства устранить их в течение трех недель. Вероятно, что новые жертвы оказались в частном секторе. Агентства настоятельно призывают обновить системы и обращать внимание на признаки компрометации. «Учетные данные и конфиденциальные данные, хранящиеся в уязвимых устройствах Ivanti, следует считать компрометированными,» — добавляют они. «Организациям рекомендуется собирать и анализировать логи и артефакты для выявления вредоносной активности и применять рекомендации по реагированию на инциденты.» Ivanti — американская компания специализирующаяся на IT-безопасности, управлении сервисами, управлении активами и многом другом. В 2023 году ее штат насчитывал около 3070 сотрудников, а услугами компании пользовались более 40,000 организаций по всему миру. В 2024 году Ivanti столкнулась с несколькими киберинцидентами, включая сообщение о том, что китайские хакеры использовали ее ПО для атак на организации. Одна из таких группировок известна как UNC5221, которая, по предположениям, скомпрометировала тысячи устройств Ivanti VPN, включая устройства CISA.