Az Ivanti sebezhetőségeit egyetlen támadó tartja sakkban

Egy IP-cím uralja a támadásokat

A GreyNoise elemzői szerint egy, általános támadásokat végrehajtó IP-cím, amelyet a bulletproof hostingot kínáló PROSPERO OOO üzemeltet, az esetek 83%-áért felel a két Ivanti-hibát célzó támadásoknál. Február elején összesen 417 támadási próbálkozást észleltek nyolc különböző IP-címről, ám ezek túlnyomó többsége (354 eset) ehhez az egy címhez kötődik. Különösen február 8-án ugrott meg a forgalom, amikor csaknem 13-szorosára nőtt a támadási kísérletek száma.

Automatizált támadások és rejtve maradt fenyegetés

A támadások teljesen automatizáltak, és mintegy háromszáz különféle user-agentet váltogatnak. A támadások közül sok az OAST-stílusú DNS-visszahívásokat használja a végrehajtás sikerének ellenőrzésére. Érdekesség, hogy az elkövető IP-címei nem szerepelnek a közismert fenyegetési listákon, így az ismert indikátorokat szűrő védelmi rendszerek a fő támadóforrást teljesen figyelmen kívül hagyják.

Nemcsak az Ivanti a célpont

A tapasztalatok szerint ez a támadó nemcsak az Ivantira összpontosít: ugyanaz az IP-cím egy időben legalább három másik sérülékenységet is kihasznál, köztük az Oracle WebLogic, a GNU Inetutils Telnetd és a GLPI hibáit. A legtöbb támadást az Oracle WebLogic sebezhetősége vonzotta.

Egyelőre csak átmeneti megoldások vannak

Az Ivanti jelenlegi javításai átmenetiek; a végleges folt kiadását a 12.8.0.0-s verzióval 2024 első negyedévére ígérték. Addig az adminoknak ajánlott külön, új EPMM-példányt létrehozni, és minden adatot átköltöztetni.

2025, adrienne, www.bleepingcomputer.com alapján