کارشناسان حملات Ivanti VPN را به عنوان Scans Endpoint پیش بینی می کنند • ثبت نام

به گزارش اینتل بیز Greynoise ، کاربران Ivanti VPN باید هوشیار باشند زیرا اسکن IP برای سیستم های امن و پالس امن و پالس در هفته گذشته 800 درصد افزایش یافته است.

این تیم در شرکت نظارت بر اینترنت گفت: این نوع الگویی است که معمولاً پیش از بهره برداری و افشای عمومی آسیب پذیری های جدید است.

در هر زمان معینی ، تعداد معمولی روزانه آدرسهای IP منحصر به فرد که برای Ivanti VPN ها اسکن می شوند زیر 30 سال و گاهی اوقات در رقم های واحد ، در هر داده Greynoise ، اما در 18 آوریل این تعداد به 234 امتیاز نهایی Ivanti افزایش یافته است.

برای زمینه ، طی 90 روز گذشته ، 1،004 IP های منحصر به فرد در حال اسکن نقاط پایانی ایمن و پالس بودند ، این بدان معنی است که تقریباً یک چهارم فعالیت برای سه ماه گذشته در یک روز واحد رخ داده است.

Greynoise گفت: از این 1،004 IP ، 634 “مشکوک” ، 244 “مخرب” و 126 “خوش خیم” بودند.

Infosec Biz در اوایل این هفته اظهار داشت: “این افزایش ممکن است نشان دهنده شناسایی هماهنگ و آمادگی احتمالی برای بهره برداری در آینده باشد.”

“Ivanti Connect Secure به دلیل نقش آن در دسترسی از راه دور سازمانی بارها و بارها در سالهای اخیر مورد هدف قرار گرفته است.

“در حالی که هنوز هیچ CVE خاص با این فعالیت اسکن گره خورده است ، اما سنبله هایی مانند این اغلب پیش از بهره برداری فعال هستند. Greynoise قبلاً الگوهای مشابهی را در پیشبرد کشف عمومی آسیب پذیری های جدید مشاهده کرده است.”

از آنجا که از مشتریان خواسته می شود تا از سیاهههای مربوط به علائم خود در مورد نقاط پایانی VPN هدف قرار بگیرند ، ثبت نام از ایوانتی خواسته بود که یافته های Greynoise را به دست آورد. در پاسخ ، ایوانتی گفت که مردم باید از لوازم خانگی پالس مهاجرت کرده و نرم افزار Secure 9.1 RX را به عنوان اکنون از پشتیبانی خارج کرده اند.

این تأمین کننده اظهار داشت: “بازیگران تهدید غالباً از آسیب پذیری های شناخته شده در محصولات پایان عمر (EOL) سوء استفاده می کنند ، که دیگر تکه ها یا پشتیبانی دریافت نمی کنند و آنها را بسیار مستعد حملات روزهای N می کند.”

“ایوانتی به طور مداوم از مشتریانی که از محصولات EOL استفاده می کنند برای ارتقاء نسخه های پشتیبانی شده بلافاصله برای اطمینان از محافظت از سیستم ها استفاده می کند. این یک مسئله در سطح صنعت است و ایوانتی اقدامات پیشگیرانه ای را برای وادار کردن مشتریان برای انتقال به آخرین نسخه ها انجام داده است.”

در همین حال ، Greynoise توصیه می کند که هرگونه فعالیت مشکوک ورود به سیستم را بررسی کنید و از آخرین تکه های مربوطه استفاده کنید.

دوباره ایوانتی است

در حالی که هیچ چیز از طرف Ivanti تأیید نشده است-حملات واقعی در اثر وحشی یا آسیب پذیری در روند وصله-اگر به زودی چیزی اعلام شود ، ممکن است با توجه به تاریخ اخیر فروشنده با سوءاستفاده های امنیتی ، تعجب آور نباشد.

در ژانویه سال 2025 ، برای دومین سال پیاپی ، Connect Secure با حملات روز صفر هدف قرار گرفت. دو آسیب پذیری در طی چند روز از جهان در حال زنگ زدن در سال جدید فاش شد ، اگرچه سوء استفاده ها در اواسط دسامبر تأیید شد.

حملات موفقیت آمیز با استفاده از جدی تر از دو آسیب پذیری (CVE-2025-0282 ، 9.0) به تازگی توسط تیم واکنش اضطراری رایانه ژاپن (JPCERT) تأیید شد.

این سازمان روز پنجشنبه اعلام کرد که بدافزار DSlogdrat در لوازم خانگی Connect کاشته شده است ، اما با اطمینان نمی تواند بگوید که آیا این بخشی از همان کمپین از ژانویه است ، که به گروه چین و Nexus UNC5221 نسبت داده شده است.

این همه از اولین کمپین Connect Secure از ژانویه 2024 ، که به UNC5221 نیز نسبت داده شد ، دنبال شد. این مسئله برای مشتریان از حادثه 2025 برای مشتریان مشکل ساز تر بود ، زیرا برنامه پچ مبهم ایوانتی در آن زمان بسیاری از آنها را بدون رفع هفته ها پس از افشای آسیب پذیری اولیه باقی گذاشت.

ایوانتی پلاور امنیتی را “فروتن” خواند و در آوریل همان سال متعهد شد تا شیوه های امنیتی خود را با اصل طراحی امن در قلب آن بازنگری کند. ®