Обнаружена критическая уязвимость в устройствах Ivanti Connect Secure (ICS)

Согласно последним данным, более 379 устройств Ivanti Connect Secure (ICS) были скомпрометированы через недавно обнаруженную уязвимость – CVE-2025-0282. Эта уязвимость позволяет киберпреступникам устанавливать скрытые «backdoor» и получать постоянный доступ к системам.

Описание уязвимости CVE-2025-0282
Уязвимость CVE-2025-0282 связана с переполнением буфера в стековой области памяти (stack-based buffer overflow) в платформе ICS. Эта ошибка позволяет злоумышленникам отправлять специально подготовленные пакеты данных, выполнять вредоносный код и полностью контролировать устройство.

Опасность данной уязвимости оценивается по системе CVSS как высокая, так как она может быть удалённо использована без необходимости авторизации. 16 января 2025 года эксплойт Proof-of-Concept (PoC) для этой уязвимости был опубликован в открытых источниках, что значительно ускорило распространение атак.

Масштабы компрометации
22 января 2025 года специалисты по кибербезопасности обнаружили 379 новых устройств ICS, скомпрометированных через уязвимость CVE-2025-0282. На этих устройствах были установлены «backdoor», которые позволили киберпреступникам похищать пользовательские данные, перемещаться по внутренней сети и размещать вредоносные программы.

Исследователи предполагают, что некоторые системы могли быть атакованы и через другие уязвимости или методы.

Как осуществлялись атаки?
Для эксплуатации CVE-2025-0282 злоумышленники отправляли специально подготовленные пакеты данных, что приводило к выходу за пределы допустимой области памяти. Это позволяло изменять компоненты системы ICS и скрывать вредоносную деятельность.

Меры по устранению проблемы и защите
Компания Ivanti выпустила обновления безопасности для устранения CVE-2025-0282 и настоятельно рекомендовала всем пользователям установить их как можно скорее. Кроме того, специалисты по кибербезопасности советуют принять следующие меры:

1. Возврат устройств к заводским настройкам: Если на устройстве ICS обнаружена подозрительная активность, рекомендуется сбросить его настройки до заводских и переустановить программное обеспечение.
2. Поиск угроз: Проведите тщательное сканирование системы для обнаружения индикаторов компрометации (IOC), связанных с CVE-2025-0282.
3. Сегментация сети: Изолируйте устройства ICS от критически важных систем, чтобы ограничить возможности злоумышленников перемещаться по сети.
4. Обновление инфраструктуры: Замените устаревшие устройства ICS на современные аналоги с более высоким уровнем безопасности.

Выводы
Этот инцидент подчеркивает важность разработки продуктов на основе современных принципов безопасности. Компании должны своевременно устанавливать обновления безопасности и внедрять эффективные стратегии реагирования на инциденты, чтобы обеспечить защиту от сложных киберугроз.

Для минимизации подобных уязвимостей в будущем, особенно в корпоративных средах, крайне важно отслеживать обновления безопасности и оперативно реагировать на возможные угрозы.