CISA: יש לתקן פגם קריטי ב-Ivanti VPN, שנוצל במתקפות

יש לתקן בדחיפות פגיעות, בדרגת חומרה קריטית, ב-Connect Secure VPN של איבנטי (Ivanti), שחוקרי איומים ראו ניצול שלה במתקפות סייבר אחרונות. גם CISA – הסוכנות לאבטחת סייבר ותשתיות בארה"ב – קראה בסוף השבוע לתיקון הפגם. הפגיעות קיבלה דירוג חומרה "קריטי" של 9.0 מתוך 10.0. ו-CISA הוסיפה בסוף השבוע האחרון את הפגם לקטלוג הפגיעויות שלה שחוו ניצול בשטח.

הפגם, שתויג כ-CVE-2025-22457, "מאפשר יכולת להזרקת נוזקות מרחוק", והחוקרים של מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud) זיהו "עדויות לניצול פעיל שלו בשטח".

לדברי חוקרי מנדיאנט, ייתכן שהמתקפות קשורות לקבוצת ריגול שבסיסה בסין. קבוצה זו כבר נחשפה בעבר כמי שעמדה מאחורי הניצול ה"המוני" של מכשירי Ivanti Connect Secure בכמה מתקפות רחבות היקף בתחילת 2024. קבוצת האיומים, UNC5221, ניסתה לפגוע באלפי ארגונים להם VPN של איבנטי, ובין הקורבנות אז, נכללה גם CISA.

במתקפות החדשות, המכוונות ללקוחות Ivanti VPN, "נצפתה התבססות של האקרים מהאקו-סיסטם של נוזקות המיוחסות ל-UNC5221", כתבו החוקרים בפוסט. לפי הערכות החוקרים, המתקפות הללו החלו כבר באמצע מרץ.

בהודעתה מיום ו' האחרון, איוונטי אמרה שהיא "מודעת למספר מוגבל של לקוחות" שהחולשה נוצלה כחלק מהמתקפות.

🚨 Ivanti Vulnerability (CVE-2025-22457) Actively Exploited

Mandiant & Ivanti discovered active exploitation of a critical buffer overflow vulnerability in Ivanti Connect Secure VPN, leading to remote code execution.

Patch now to secure your systems: https://t.co/iV4rj8KtWJ pic.twitter.com/o5x7Trusk7

— Mandiant (part of Google Cloud) (@Mandiant) April 3, 2025

"אנו והשותפים שלנו למדנו כעת שהפגיעות ניתנת לניצול"

הפגיעות משפיעה על Ivanti Connect Secure גרסה 22.7R2.5 ואילך, כמו גם על מכשירי Pulse Connect Secure 9.1x שהגיעו לסוף מחזור החיים שלהם ב-2024 ואינם מקבלים תמיכה.

איבנטי הוסיפה בעדכון להודעה כי "הפגיעות טופלה בעדכון, לאחר שהיא זוהתה בתחילה כבאג במוצר… במקור, הפגם הוערך כבלתי ניתן לניצול להזרקת קוד מרחוק… עם זאת, אנו והשותפים שלנו למדנו כעת שהפגיעות ניתנת לניצול באמצעים מתוחכמים וזיהינו ראיות לניצול בשטח".

"פגיעויות מסוג זה מהוות וקטורים תכופים לתקיפה עבור שחקני סייבר זדוניים", נמסר מהסוכנות, "הן מהוות סיכונים משמעותיים לכל ארגון הפדרלי".

"This activity aligns with the broader strategy @Google Threat Intel Group has observed among suspected China-nexus espionage groups who invest significantly in exploits and custom malware for critical edge infrastructure."https://t.co/qgjyUalTUy

— Royal Hansen (@royalhansen) April 5, 2025

 CISA "קוראת בחום לכל הארגונים להפחית את החשיפה שלהם למתקפות סייבר, ולתת עדיפות לתיקון בהקדם של פגיעויות – כחלק מניהול הפגיעות שלהם".

נזכיר כי בינואר השנה, היו מתקפות שניצלו פגיעות קריטית, שנחשפה בעבר ב-Ivanti Connect Secure. זו תויגה כ-CVE-2025-0282. חוקרי מנדיאנט קישרו אותה לשחקן האיום הסיני UNC5337. החוקרים העריכו אז כי אפשר שהקבוצה היא חלק מ-UNC5221.