مورد الأمن إيفانتي وجدت نفسها مرة أخرى في قلب سلسلة موسعة من الانتهاكات بعد أن تبين أن اثنين من نقاط الضعف التي تم الكشف عنها حديثًا في عدد من منتجاتها من المحتمل أن يتم استغلالهما من قبل جهات التهديد المدعومة من الصين.
نقاط الضعف المعنية – والتي تم تحديدها CVE-2025-0282 وCVE-2025-0283 – تؤثر على Ivanti’s Connect Secure وPolicy Secure والخلايا العصبية لمنتجات بوابة ZTA.
استغلال الأول يمكّن جهة التهديد من تحقيق تنفيذ تعليمات برمجية عن بعد غير مصادق عليها (RCE)، واستغلال الثاني يمكّن المهاجم المعتمد محليًا من تصعيد امتيازاته.
CVE-2025-0282 هو يوم صفر رسميًا، وقد تمت إضافته بالفعل إلى وكالة الأمن السيبراني وأمن البنية التحتية (CISA’s). نقاط الضعف المستغلة المعروفة كتالوج (KEV). وفي المملكة المتحدة، قال متحدث باسم المركز الوطني للأمن السيبراني (NCSC): “يعمل NCSC على فهم تأثير المملكة المتحدة بشكل كامل والتحقيق في حالات الاستغلال النشط التي تؤثر على شبكات المملكة المتحدة.”
في العالم الحقيقي، قالت Ivanti، إن عددًا محدودًا من مستخدمي أجهزة Connect Secure الخاصة بها قد تأثروا بـ CVE-2025-0282 اعتبارًا من يوم الخميس 9 يناير 2025. ومع ذلك، لم يتأثر أي من مستخدمي Policy Secure أو بوابات ZTA، وكما اعتبارًا من 9 يناير، لم يكن هناك دليل قاطع على أنه تم استغلال CVE-2025-0283 على الإطلاق.
يتوفر الآن تصحيح لكلا CVEs في Connect Secure، ولكن في الوقت الحالي، يظل كلاهما بدون تصحيح في Policy Secure وNeurons لـ ZTA، مع عدم توقع الإصلاح حتى 21 يناير.
وقال متحدث باسم إيفانتي: “نحن نواصل العمل بشكل وثيق مع العملاء المتأثرين وشركاء الأمن الخارجيين ووكالات إنفاذ القانون بينما نرد على هذا التهديد. ننصح بشدة جميع العملاء بمراقبة تكنولوجيا المعلومات والاتصالات الداخلية والخارجية عن كثب كجزء من نهج قوي ومتعدد الطبقات للأمن السيبراني لضمان سلامة وأمن البنية التحتية للشبكة بأكملها.
“لقد قمنا بتوفير موارد إضافية وفرق دعم لمساعدة العملاء في تنفيذ التصحيح ومعالجة أي مخاوف.
وأضافوا: “شكرًا لعملائنا وشركائنا الأمنيين على مشاركتهم ودعمهم، مما مكننا من الكشف السريع والاستجابة لهذه المشكلة”. “نحن ملتزمون بالتحسين المستمر لمنتجاتنا وعملياتنا من خلال التعاون والشفافية.
“يعد هذا الحادث بمثابة تذكير بأهمية المراقبة المستمرة والتدابير الأمنية الاستباقية والمتعددة الطبقات، خاصة بالنسبة للأجهزة الطرفية (مثل شبكات VPN) التي توفر خدمة أساسية كنقطة وصول أولية إلى شبكة الشركة – ولكنها أيضًا جذابة للغاية للمهاجمين.”
أحدث اتصال للصين
وفقًا لـ Mandiant من Google Cloud، والتي كانت تعمل جنبًا إلى جنب مع Ivanti في التحقيق والمعالجة، في حالة واحدة على الأقل، تمكن ممثل التهديد من استخدام العيوب لنشر عناصر النظام البيئي للبرمجيات الخبيثة SPAWN، بما في ذلك SPAWNMOLE، وهو برنامج نفقي، وSPOWNSNAIL، وهو باب خلفي لـ SSH.
قال باحثو مانديانت إن استخدام هذه البرامج الضارة بعد استهداف منتجات Ivanti يُعزى إلى مجموعة أنشطة التهديد UNC5337، المرتبطة بـ UNC5221، وهي مجموعة تجسس صينية مشتبه بها ومن المعروف أنها استغلت ثغرات أمنية أخرى في Ivanti في أوائل عام 2024.
الكتابة على لينكدإن، وصف تشارلز كارماكال، كبير مسؤولي التكنولوجيا في شركة Mandiant، حملة UNC5221 الأخيرة بأنها قيد التطوير ولا تزال قيد التحليل، وألمح إلى أنه قد يكون هناك جهات تهديد أخرى في هذا المزيج. وفي وصفه لسيناريو “الاستغلال الجماعي المحتمل”، حث مستخدمي Ivanti على إعطاء الأولوية لتطبيق التصحيحات الجديدة على الفور.
لكنه حذر من أن هذه العملية قد لا تكون خالية من المخاطر. وكتب: “نفذ ممثل التهديد تقنية جديدة لخداع المسؤولين وجعلهم يعتقدون أنهم نجحوا في ترقية النظام”.
“نشر ممثل التهديد برامج ضارة تمنع ترقيات النظام المشروعة بينما تعرض في نفس الوقت شريط تقدم وهمي للترقية. يؤدي هذا إلى إنشاء واجهة مقنعة لتحديث ناجح، في حين أن البرامج الضارة في الواقع تمنع الترقية الفعلية بصمت. قد تفترض بعض المؤسسات أنها عالجت الثغرة الأمنية في حين أنها لم تفعل ذلك بالفعل.
وأضاف أن المهاجمين ربما تلاعبوا أيضًا بأداة التحقق من النزاهة الموجودة على متن شركة Ivanti – المصممة لمساعدة المستخدمين على تحديد التسويات – لإخفاء الأدلة على وجود البرامج الضارة الخاصة بهم.
“خذ هذا على محمل الجد”
بنجامين هاريس، الرئيس التنفيذي لشركة برج المراقبة، وهو متخصص في إدارة سطح الهجوم، حث مستخدمي Ivanti على إيلاء اهتمام وثيق لآخر التطورات.
وقال: “إن قلقنا كبير لأن هذا يحمل كل السمات المميزة لاستخدام التهديدات المستمرة المتقدمة (APT) لـ Zero-Day ضد الأجهزة ذات المهام الحرجة”. “إنه يشبه أيضًا السلوك والدراما المتداولة لمنتجات Ivanti التي شهدناها كصناعة في يناير 2024، ولا يسعنا إلا أن نأمل أن تكون Ivanti قد تعلمت من تلك التجربة فيما يتعلق باتخاذ استجابة فعالة.”
وأضاف هاريس أن عدم وجود تصحيحات عبر مجموعة المنتجات المتأثرة بالكامل يجب أن يكون مصدر قلق إضافي.
“يتوفر لدى مستخدمي Ivanti Connect Secure تصحيح متاح، ولكن مرة أخرى – يتم ترك تصحيحات الأجهزة الأخرى المتأثرة مثل Ivanti’s Policy Secure وNeurons لبوابات ZTA في انتظار التصحيح لمدة ثلاثة أسابيع. وقال: “لا ينبغي لمستخدمي هذه المنتجات أن يترددوا، ويجب إيقاف تشغيل هذه الأجهزة دون اتصال بالإنترنت حتى تتوفر التصحيحات”.
“عميل WatchTowr أم لا – نحث الجميع على أخذ هذا الأمر على محمل الجد. قم بإلقاء اتفاقيات مستوى الخدمة الخاصة بك في مهب الريح في مثل هذه المواقف، فهي لم تعد ذات صلة والفرق بين الاستجابة السريعة والاستجابة في ساعات، يمكن أن يكون هو الفرق بين قيام مؤسستك بالاتصال بشركة التأمين السيبراني الخاصة بك أم لا.
