VPN, которые устали защищать: кто защитит Ivanti от нашествия хакеров?

Пользователям VPN-сервисов Ivanti стоит быть начеку: по данным компании GreyNoise, отслеживающей активность в интернете, за последнюю неделю число IP-адресов, сканирующих системы Ivanti Connect Secure и Pulse Secure, выросло на 800 процентов. Специалисты объясняют, что такие всплески обычно предшествуют либо активной эксплуатации уязвимостей, либо их публичному раскрытию.

Обычно число уникальных IP-адресов, сканирующих VPN-сервисы Ivanti, в сутки не превышает 30, а иногда остаётся и вовсе в пределах единичных запросов. Однако 18 апреля GreyNoise зафиксировала резкий скачок: 234 IP-адреса одновременно сканировали конечные точки Ivanti. Для сравнения, за последние 90 дней в общей сложности было замечено 1004 уникальных IP-адреса, причём почти четверть всей активности за три месяца пришлась на один день.

Из этих 1004 IP-адресов GreyNoise классифицировала 634 как "подозрительные", 244 как "вредоносные" и только 126 как "безопасные". По мнению аналитиков, такой резкий рост активности может указывать на координированную разведку перед возможной атакой.

История Connect Secure в последнее время вызывает много вопросов у специалистов по безопасности. Хотя пока нет подтверждений о наличии новых уязвимостей, GreyNoise отмечает, что аналогичные всплески активности уже не раз наблюдались перед публикацией новых багов. Ivanti Connect Secure остаётся привлекательной целью для злоумышленников из-за своей важной роли в организации удалённого доступа в корпоративные сети.

Компания Ivanti в ответ на запрос The Register напомнила, что поддержка устройств Pulse Secure и старых версий Connect Secure 9.1 Rx прекращена. Вендор подчеркнул, что продукты, достигшие конца срока поддержки, особенно уязвимы для атак на известные уязвимости, поскольку больше не получают обновления безопасности. Ivanti призывает пользователей как можно скорее переходить на поддерживаемые версии. При этом компания отметила, что активно предпринимает шаги, чтобы стимулировать клиентов к обновлению.

GreyNoise, в свою очередь, советует администраторам внимательно проверять журналы событий на предмет подозрительных попыток входа и своевременно устанавливать все доступные обновления безопасности.

Фон беспокойства усиливается и тем, что за последние годы Ivanti не раз становилась мишенью серьёзных атак. В январе 2025 года — второй год подряд — сервисы Connect Secure подверглись атакам с использованием уязвимостей нулевого дня. Две новые уязвимости были раскрыты всего через несколько дней после Нового года, а эксплойты для них, как выяснилось позже, использовались ещё с середины декабря. Одна из них (CVE-2025-0282) получила серьёзную оценку в 9 баллов из 10 по шкале опасности. На этой неделе японская команда реагирования на инциденты JPCERT подтвердила успешные атаки с её использованием.

Кроме того, на фоне январских событий появились сообщения о заражении устройств Ivanti новым вредоносным ПО DslogdRAT. Хотя окончательной уверенности нет, эксперты подозревают, что это может быть связано с той же китайской хакерской группировкой UNC5221, которая стояла за аналогичными атаками в январе 2024 года. Тогда ситуация была ещё сложнее, так как Ivanti долго откладывала выпуск патчей, и многие клиенты оставались без защиты в течение недель после раскрытия уязвимостей.

Компания признала тогдашнюю ситуацию "уроком" и в апреле 2024 года пообещала полностью пересмотреть свои подходы к безопасности, сделав принцип безопасной разработки центральным элементом своих процессов.