Несколько злоумышленников снова атакуют системы клиентов Ivanti, используя пару тесно связанных уязвимостей в Ivanti Endpoint Manager Mobile (EPMM) для удаленного выполнения кода без аутентификации.
Уязвимости программного обеспечения — CVE-2025-4427 и CVE-2025-4428 — были использованы в качестве уязвимостей нулевого дня до того, как Ivanti раскрыла их и исправила. «На момент раскрытия информации нам известно об очень ограниченном числе клиентов, чьи решения были взломаны», — заявила Ivanti в бюллетене по безопасности от 13 мая .
С тех пор число атак значительно возросло, следуя типичной схеме: государственные организации быстро и эффективно используют уязвимости, оставляя киберпреступникам возможность последовать их примеру.
Исследователи безопасности из EclectiqIQ приписали почти 20 атак, нацеленных на развернутые в Интернете системы Ivanti EPMM, группировке UNC5221 — шпионской группе, связанной с Китаем, которая неоднократно атаковала клиентов Ivanti с 2023 года. Последняя серия атак этой группы стала четвертым случаем эксплуатации уязвимостей нулевого дня в продуктах Ivanti менее чем за три года.
По словам Арды Бюйюккая, аналитика по угрозам в EclectiqIQ, опубликованным 21 мая, жертвами стали компании из важнейших секторов в Европе, Северной Америке и Азиатско-Тихоокеанском регионе, включая «фирму по кибербезопасности, специализирующуюся на защите от мобильных угроз и защите корпоративных данных».
По данным EclectiqIQ, UNC5221 также похитил данные у «крупнейшего немецкого поставщика телекоммуникационных услуг», организаций здравоохранения в Великобритании, ирландской компании по лизингу аэрокосмической техники, национального поставщика медицинских услуг и фармацевтических препаратов в Северной Америке, производителя огнестрельного оружия в США и транспортной организации, которая управляет системами аэропорта в Хьюстоне.
GreyNoise, впервые предупредившая о девятикратном росте активности сканирования других продуктов Ivanti 23 апреля, зафиксировала устойчивый рост числа уникальных IP-адресов, пытающихся эксплуатировать пару уязвимостей в Ivanti EPMM, на прошлой неделе. С момента начала сканирования на предмет попыток эксплойта 16 мая GreyNoise обнаружила 16 уникальных вредоносных IP-адресов , включая 10 со вторника.
Сетевые периферийные устройства — межсетевые экраны, VPN и маршрутизаторы — часто и постоянно становятся целью злоумышленников, но проблемы, с которыми Ivanti и ее клиенты сталкиваются с 2024 года, выражены ярче и возникают чаще, чем у любого другого поставщика в этом секторе .
Данные подтверждают, что Ivanti является рецидивистом, поставляющим программное обеспечение с большим количеством уязвимостей как минимум в 10 различных линейках продуктов с 2021 года.
В каталоге известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры за последние четыре года зафиксировано 30 уязвимостей Ivanti , восемь из которых использовались в кампаниях по вымогательству. По данным киберорганов, с начала года злоумышленники воспользовались семью уязвимостями в продуктах Ivanti.
Несмотря на трудности в сфере безопасности, компания Ivanti получила широкое понимание со стороны аналитиков, специалистов по реагированию на инциденты и исследователей, которые защищают или сочувствуют повторяющемуся статусу Ivanti как поставщика услуг безопасности, подвергающегося атакам.
«Действительно, продукты Ivanti подвергались атакам, но я не уверен, что это обязательно отражает состояние их безопасности, поскольку на них просто обрушиваются атаки со стороны лиц, пытающихся проникнуть в эти невероятно востребованные организации», — рассказал изданию CyberScoop Райан Эммонс, штатный исследователь по безопасности компании Rapid7.
«Ivanti выпустила исправление уязвимостей, связанных с библиотеками с открытым исходным кодом, используемыми в наших локальных продуктах Endpoint Manager Mobile», — сообщил представитель Ivanti порталу CyberScoop в подготовленном заявлении.
«Мы активно работаем с нашими партнёрами по безопасности и службами поддержки библиотек, чтобы определить, оправдана ли CVE-атака на библиотеки», — добавил представитель. «Мы по-прежнему привержены сотрудничеству и прозрачности с нашими заинтересованными сторонами и всей экосистемой безопасности».
Тем не менее, как утверждают исследователи угроз, применяя собственные CVE к уязвимостям и устраняя недостатки собственными силами, Ivanti по крайней мере берет на себя некоторую степень ответственности за свою роль и право собственности на дефекты, которые активно эксплуатируются в реальных условиях.
По словам Эммонса, когда в библиотеках с открытым исходным кодом обнаруживаются уязвимости, CVE обычно присваиваются уязвимости в самой библиотеке.
Зачастую возникает некоторая двусмысленность относительно того, связана ли уязвимость с программным обеспечением поставщика, сторонней библиотекой или реализацией ПО с открытым исходным кодом, реализованной поставщиком. Иванти утверждает, что уязвимости полностью связаны с неуказанными проблемами безопасности в библиотеках с открытым исходным кодом.
«Ivanti ведет постоянные переговоры с разработчиками по поводу CVE, направленных против этих библиотек», — сообщил представитель компании.
Бен Харрис, генеральный директор watchTowr, сказал, что он и его коллеги были озадачены и удивлены тем, как Ivanti сформулировала уязвимости, назвав объяснение компании «граничащим с неискренностью».
Исследователи watchTowr воспроизвели CVE-2025-4427 и CVE-2025-4428 и выразили несогласие с тем, как Ivanti классифицировала уязвимости и описала основную причину.
«Основная причина уязвимости — неправильное использование программной библиотеки», — сказал Харрис. «Они знают, что это не уязвимость нулевого дня в используемой ими библиотеке, но её код неправильно использует эту библиотеку, что и привело к появлению этой уязвимости».
Исследователи утверждают, что шаги, необходимые для эксплуатации пары уязвимостей, относительно просты и не представляют собой сложную цепочку.
«Это было представлено как цепочка из двух ошибок, хотя на самом деле это, по сути, один запрос, который нужно исправить, — сказал Эммонс. — Здесь нет такой уж многоэтапности. Скорее, речь идёт о первопричине».
Исследователи сообщили CyberScoop, что уязвимость, которую Ivanti описывает как дефект обхода аутентификации (CVE-2025-4427), позволяет злоумышленникам получать доступ к конечной точке веб-API без аутентификации, поскольку в коде Ivanti для этой конечной точки API не предусмотрены средства контроля доступа.
«Судя по тому, что мы увидели в коде, обхода нет. Его просто нет», — сказал Харрис, добавив, что CVE-2025-4427 правильнее было бы назвать уязвимостью, связанной с неправильным порядком выполнения операций.
Rapid7 и watchTowr определили, что доступ, полученный через CVE-2025-4427 с помощью одного запроса к веб-серверу, позволяет злоумышленникам инициировать неаутентифицированное удаленное выполнение кода через CVE-2025-4428 без дополнительных действий.
«Мы рассматриваем разные версии реальности, — сказал Харрис. — Трудно рассматривать это иначе, чем как причинение вреда самому себе».
Уязвимости программного обеспечения — CVE-2025-4427 и CVE-2025-4428 — были использованы в качестве уязвимостей нулевого дня до того, как Ivanti раскрыла их и исправила. «На момент раскрытия информации нам известно об очень ограниченном числе клиентов, чьи решения были взломаны», — заявила Ivanti в бюллетене по безопасности от 13 мая .
С тех пор число атак значительно возросло, следуя типичной схеме: государственные организации быстро и эффективно используют уязвимости, оставляя киберпреступникам возможность последовать их примеру.
Исследователи безопасности из EclectiqIQ приписали почти 20 атак, нацеленных на развернутые в Интернете системы Ivanti EPMM, группировке UNC5221 — шпионской группе, связанной с Китаем, которая неоднократно атаковала клиентов Ivanti с 2023 года. Последняя серия атак этой группы стала четвертым случаем эксплуатации уязвимостей нулевого дня в продуктах Ivanti менее чем за три года.
По словам Арды Бюйюккая, аналитика по угрозам в EclectiqIQ, опубликованным 21 мая, жертвами стали компании из важнейших секторов в Европе, Северной Америке и Азиатско-Тихоокеанском регионе, включая «фирму по кибербезопасности, специализирующуюся на защите от мобильных угроз и защите корпоративных данных».
По данным EclectiqIQ, UNC5221 также похитил данные у «крупнейшего немецкого поставщика телекоммуникационных услуг», организаций здравоохранения в Великобритании, ирландской компании по лизингу аэрокосмической техники, национального поставщика медицинских услуг и фармацевтических препаратов в Северной Америке, производителя огнестрельного оружия в США и транспортной организации, которая управляет системами аэропорта в Хьюстоне.
GreyNoise, впервые предупредившая о девятикратном росте активности сканирования других продуктов Ivanti 23 апреля, зафиксировала устойчивый рост числа уникальных IP-адресов, пытающихся эксплуатировать пару уязвимостей в Ivanti EPMM, на прошлой неделе. С момента начала сканирования на предмет попыток эксплойта 16 мая GreyNoise обнаружила 16 уникальных вредоносных IP-адресов , включая 10 со вторника.
Клиенты Ivanti постоянно целевые
Продукты и услуги безопасности Ivanti используются многими важными организациями, включая государственные учреждения и поставщиков критически важной инфраструктуры. Обширное присутствие компании делает клиентов поставщика объектом внимания киберпреступников и государственных организаций.Сетевые периферийные устройства — межсетевые экраны, VPN и маршрутизаторы — часто и постоянно становятся целью злоумышленников, но проблемы, с которыми Ivanti и ее клиенты сталкиваются с 2024 года, выражены ярче и возникают чаще, чем у любого другого поставщика в этом секторе .
Данные подтверждают, что Ivanti является рецидивистом, поставляющим программное обеспечение с большим количеством уязвимостей как минимум в 10 различных линейках продуктов с 2021 года.
В каталоге известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры за последние четыре года зафиксировано 30 уязвимостей Ivanti , восемь из которых использовались в кампаниях по вымогательству. По данным киберорганов, с начала года злоумышленники воспользовались семью уязвимостями в продуктах Ivanti.
Несмотря на трудности в сфере безопасности, компания Ivanti получила широкое понимание со стороны аналитиков, специалистов по реагированию на инциденты и исследователей, которые защищают или сочувствуют повторяющемуся статусу Ivanti как поставщика услуг безопасности, подвергающегося атакам.
«Действительно, продукты Ivanti подвергались атакам, но я не уверен, что это обязательно отражает состояние их безопасности, поскольку на них просто обрушиваются атаки со стороны лиц, пытающихся проникнуть в эти невероятно востребованные организации», — рассказал изданию CyberScoop Райан Эммонс, штатный исследователь по безопасности компании Rapid7.
Основная причина последних CVE поставлена под сомнение
Компания Ivanti пошла по другому пути, обвиняя в первопричине CVE-2025-4427 и CVE-2025-4428, заявив, что уязвимости связаны с двумя неназванными библиотеками с открытым исходным кодом, интегрированными в Ivanti EPMM.«Ivanti выпустила исправление уязвимостей, связанных с библиотеками с открытым исходным кодом, используемыми в наших локальных продуктах Endpoint Manager Mobile», — сообщил представитель Ivanti порталу CyberScoop в подготовленном заявлении.
«Мы активно работаем с нашими партнёрами по безопасности и службами поддержки библиотек, чтобы определить, оправдана ли CVE-атака на библиотеки», — добавил представитель. «Мы по-прежнему привержены сотрудничеству и прозрачности с нашими заинтересованными сторонами и всей экосистемой безопасности».
Тем не менее, как утверждают исследователи угроз, применяя собственные CVE к уязвимостям и устраняя недостатки собственными силами, Ivanti по крайней мере берет на себя некоторую степень ответственности за свою роль и право собственности на дефекты, которые активно эксплуатируются в реальных условиях.
По словам Эммонса, когда в библиотеках с открытым исходным кодом обнаруживаются уязвимости, CVE обычно присваиваются уязвимости в самой библиотеке.
Зачастую возникает некоторая двусмысленность относительно того, связана ли уязвимость с программным обеспечением поставщика, сторонней библиотекой или реализацией ПО с открытым исходным кодом, реализованной поставщиком. Иванти утверждает, что уязвимости полностью связаны с неуказанными проблемами безопасности в библиотеках с открытым исходным кодом.
«Ivanti ведет постоянные переговоры с разработчиками по поводу CVE, направленных против этих библиотек», — сообщил представитель компании.
Бен Харрис, генеральный директор watchTowr, сказал, что он и его коллеги были озадачены и удивлены тем, как Ivanti сформулировала уязвимости, назвав объяснение компании «граничащим с неискренностью».
Исследователи watchTowr воспроизвели CVE-2025-4427 и CVE-2025-4428 и выразили несогласие с тем, как Ivanti классифицировала уязвимости и описала основную причину.
«Основная причина уязвимости — неправильное использование программной библиотеки», — сказал Харрис. «Они знают, что это не уязвимость нулевого дня в используемой ими библиотеке, но её код неправильно использует эту библиотеку, что и привело к появлению этой уязвимости».
Исследователи утверждают, что шаги, необходимые для эксплуатации пары уязвимостей, относительно просты и не представляют собой сложную цепочку.
«Это было представлено как цепочка из двух ошибок, хотя на самом деле это, по сути, один запрос, который нужно исправить, — сказал Эммонс. — Здесь нет такой уж многоэтапности. Скорее, речь идёт о первопричине».
Исследователи сообщили CyberScoop, что уязвимость, которую Ivanti описывает как дефект обхода аутентификации (CVE-2025-4427), позволяет злоумышленникам получать доступ к конечной точке веб-API без аутентификации, поскольку в коде Ivanti для этой конечной точки API не предусмотрены средства контроля доступа.
«Судя по тому, что мы увидели в коде, обхода нет. Его просто нет», — сказал Харрис, добавив, что CVE-2025-4427 правильнее было бы назвать уязвимостью, связанной с неправильным порядком выполнения операций.
Rapid7 и watchTowr определили, что доступ, полученный через CVE-2025-4427 с помощью одного запроса к веб-серверу, позволяет злоумышленникам инициировать неаутентифицированное удаленное выполнение кода через CVE-2025-4428 без дополнительных действий.
«Мы рассматриваем разные версии реальности, — сказал Харрис. — Трудно рассматривать это иначе, чем как причинение вреда самому себе».
