Az Ivanti sebezhetőségeit egyetlen támadó tartja sakkban

Az Ivanti Endpoint Manager Mobile (EPMM) két kritikus sebezhetőségének kihasználásáért szinte teljes egészében egyetlen támadó felelős. A sebezhetőségek – CVE-2026-21962 és CVE-2026-24061 – lehetővé teszik, hogy illetéktelenek távoli kódfuttatást hajtsanak végre az érintett rendszereken; ráadásul az Ivanti már ki is adta a hibákhoz készült gyorsjavításokat.

Egy IP-cím uralja a támadásokat

A GreyNoise elemzői szerint egy, általános támadásokat végrehajtó IP-cím, amelyet a bulletproof hostingot kínáló PROSPERO OOO üzemeltet, az esetek 83%-áért felel a két Ivanti-hibát célzó támadásoknál. Február elején összesen 417 támadási próbálkozást észleltek nyolc különböző IP-címről, ám ezek túlnyomó többsége (354 eset) ehhez az egy címhez kötődik. Különösen február 8-án ugrott meg a forgalom, amikor csaknem 13-szorosára nőtt a támadási kísérletek száma.

Automatizált támadások és rejtve maradt fenyegetés

A támadások teljesen automatizáltak, és mintegy háromszáz különféle user-agentet váltogatnak. A támadások közül sok az OAST-stílusú DNS-visszahívásokat használja a végrehajtás sikerének ellenőrzésére. Érdekesség, hogy az elkövető IP-címei nem szerepelnek a közismert fenyegetési listákon, így az ismert indikátorokat szűrő védelmi rendszerek a fő támadóforrást teljesen figyelmen kívül hagyják.

Nemcsak az Ivanti a célpont

A tapasztalatok szerint ez a támadó nemcsak az Ivantira összpontosít: ugyanaz az IP-cím egy időben legalább három másik sérülékenységet is kihasznál, köztük az Oracle WebLogic, a GNU Inetutils Telnetd és a GLPI hibáit. A legtöbb támadást az Oracle WebLogic sebezhetősége vonzotta.

Egyelőre csak átmeneti megoldások vannak

Az Ivanti jelenlegi javításai átmenetiek; a végleges folt kiadását a 12.8.0.0-s verzióval 2024 első negyedévére ígérték. Addig az adminoknak ajánlott külön, új EPMM-példányt létrehozni, és minden adatot átköltöztetni.

2025, adrienne, www.bleepingcomputer.com alapján