0Day-атака на Nominet: домены UK под ударом

Британский регистратор доменов Nominet расследует возможный взлом своей сети, в ходе которого хакеры использовали уязвимость нулевого дня в программном обеспечении Ivanti.

Подозрительная активность была выявлена в конце прошлой недели через ошибку в стороннем VPN-сервисе от Ivanti. ПО используется сотрудниками Nominet для удалённого доступа к системам. Вектор атаки был связан с уязвимостью нулевого дня (Zero-Day).

На данный момент компания заявляет, что доказательств утечки или кражи данных нет. Также не выявлено следов бэкдоров или иных форм несанкционированного доступа в сеть. Для усиления защиты доступ к системам через VPN был ограничен. Доменные системы регистрации и управления продолжают работать в штатном режиме.

Nominet, управляющий более чем 11 миллионами доменов «.uk», а также доменами «.wales», «.pharmacy» и «.career», сообщил, что расследование ведётся совместно с внешними экспертами, а уведомления направлены клиентам, членам организации и соответствующим органам, включая Национальный центр кибербезопасности Великобритании (NCSC).

Все признаки указывают на то, что Nominet стала первой организацией, публично признанной жертвой продолжающейся эксплуатации CVE-2025-0282 (оценка CVSS: 9.0)— уязвимости нулевого дня, затрагивающей шлюзы Ivanti Connect Secure, Policy Secure и Neurons for ZTA. Ivanti и Mandiant подтвердили, что атаки начались ещё в декабре, но жертвы не раскрывались.

Mandiant обнаружила, что данная уязвимость использовалась хакерами, связанными с китайской группой UNC5337. В ходе атак применялась вредоносная экосистема SPAWN, включая ранее неизвестные программы DRYHOOK и PHASEJAM. Основные задачи киберпреступников — кража учётных данных и установка веб-шеллов для получения постоянного доступа.

Ivanti выпустила исправления для Connect Secure, но исправления для Policy Secure и Neurons for ZTA будут доступны лишь 21 января. В прошлом году компания подверглась критике за задержку с обновлениями, что оставило тысячи организаций без защиты. Nominet заявляет, что уже начала внедрение исправлений. Пользователям продуктов Ivanti рекомендовано как можно скорее обновить своё программное обеспечение.