هشدار امنیتی: سوءاستفاده هکرها از ضعف جدید در Ivanti VPN برای نفوذ به شبکه‌های شرکتی

شرکت بزرگ نرم‌افزاری آمریکایی، Ivanti، هشدار داده که یک آسیب‌پذیری روز صفر در تجهیزات پرکاربرد VPN سازمانی این شرکت مورد سوءاستفاده قرار گرفته و شبکه‌های مشتریان شرکتی‌اش را به خطر انداخته است.

Ivanti در روز چهارشنبه اعلام کرد که این آسیب‌پذیری بحرانی با شناسه CVE-2025-0282 می‌تواند بدون نیاز به احراز هویت، کد مخرب را به‌طور راه دور بر روی محصولات Connect Secure، Policy Secure و ZTA Gateways این شرکت نصب کند. Ivanti ادعا می‌کند که راه‌حل VPN دسترسی از راه دور Connect Secure این شرکت، پرکاربردترین SSL VPN در بین سازمان‌ها با هر اندازه‌ای و در تمامی صنایع اصلی است.

این آسیب‌پذیری جدیدترین نقص امنیتی است که محصولات Ivanti را هدف قرار داده است. سال گذشته، این شرکت قول داد فرآیندهای امنیتی خود را بازبینی کند، پس از آنکه هکرها از چندین آسیب‌پذیری در محصولاتش برای انجام حملات گسترده علیه مشتریانش سوءاستفاده کردند.

این شرکت اعلام کرد که از این آسیب‌پذیری جدید پس از آنکه ابزار Ivanti Integrity Checker Tool (ICT) فعالیت‌های مخربی را بر روی برخی از تجهیزات مشتریان شناسایی کرد، مطلع شد.

در پستی مشورتی که روز چهارشنبه منتشر شد، Ivanti تأیید کرد که مهاجمان به‌طور فعال از CVE-2025-0282 به عنوان یک آسیب‌پذیری روز صفر سوءاستفاده می‌کنند، به این معنی که شرکت قبل از کشف و بهره‌برداری از این نقص زمانی برای رفع آن نداشته است. همچنین اعلام کرد که تنها تعداد محدودی از مشتریان، از جمله مشتریانی که از تجهیزات Connect Secure استفاده می‌کنند، تحت تأثیر این حمله قرار گرفته‌اند.

Ivanti اعلام کرد که اکنون یک پچ برای Connect Secure موجود است، اما پچ‌های مربوط به Policy Secure و ZTA Gateways که هنوز قابل سوءاستفاده تأیید نشده‌اند، تا 21 ژانویه منتشر نخواهند شد.

این شرکت همچنین از کشف یک آسیب‌پذیری دوم با شناسه CVE-2025-0283 خبر داد که هنوز مورد سوءاستفاده قرار نگرفته است.

این ترجمه با گسترش و روان‌سازی متن اولیه، اطلاعات را به‌طور جامع‌تر ارائه می‌دهد و درک بهتری از وضعیت را برای خوانندگان فراهم می‌کند.

Ivanti هنوز اعلام نکرده که چه تعداد از مشتریانش تحت تأثیر این حملات قرار گرفته‌اند یا چه کسانی پشت این نفوذها هستند. سخنگویان Ivanti تا زمان انتشار این گزارش به سؤالات TechCrunch پاسخی نداده‌اند.

شرکت Mandiant، که به همراه محققان مایکروسافت این آسیب‌پذیری را کشف کرده، در پستی که اواخر چهارشنبه منتشر شد، اعلام کرد که محققانش سوءاستفاده هکرها از آسیب‌پذیری روز صفر Connect Secure را از اواسط دسامبر 2024 مشاهده کرده‌اند.

Mandiant در ایمیلی به TechCrunch اظهار داشت که اگرچه نمی‌تواند این سوءاستفاده را به یک عامل تهدید خاص نسبت دهد، اما گمان می‌کند یک گروه جاسوسی سایبری مرتبط با چین، که با شناسه‌های UNC5337 و UNC5221 ردیابی می‌شود، پشت این حملات باشد. این همان گروهی است که در سال 2024 از دو آسیب‌پذیری روز صفر در Connect Secure برای انجام حملات گسترده علیه مشتریان Ivanti سوءاستفاده کرده بود.

بن هریس، مدیرعامل شرکت تحقیقاتی امنیتی watchTowr Labs، در ایمیلی به TechCrunch گفت که این شرکت تأثیرات گسترده‌ای را به دلیل این نقص امنیتی جدید در Ivanti VPN مشاهده کرده و “تمام روز با مشتریان کار کرده‌ایم تا مطمئن شویم که آن‌ها آگاه هستند.”

هریس افزود که این آسیب‌پذیری بسیار نگران‌کننده است، زیرا حملات “تمام ویژگی‌های استفاده از یک آسیب‌پذیری روز صفر توسط یک تهدید پیشرفته و پایدار علیه یک دستگاه حیاتی” را دارد و از همه خواست که “این موضوع را جدی بگیرند.”

مرکز امنیت سایبری ملی بریتانیا در یک توصیه‌نامه اعلام کرد که در حال بررسی موارد سوءاستفاده فعال که شبکه‌های بریتانیا را تحت تأثیر قرار داده، است. همچنین، آژانس امنیت سایبری آمریکا (CISA) این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته‌شده و سوءاستفاده شده خود اضافه کرد.

نتیجه‌گیری:

این حملات، بار دیگر بر اهمیت امنیت سایبری و واکنش سریع به تهدیدات جدید تأکید می‌کند. شرکت‌ها باید سیستم‌های خود را به‌روز نگه دارند و از ابزارهای مناسب برای شناسایی و جلوگیری از حملات سایبری استفاده کنند. همکاری مستمر بین محققان امنیتی، شرکت‌های فناوری، و آژانس‌های دولتی برای محافظت از زیرساخت‌های حیاتی در برابر چنین تهدیدات ضروری است. مشتریان Ivanti نیز باید سریعا اقدامات لازم را برای به‌روزرسانی سیستم‌های خود انجام دهند و هرگونه فعالیت مشکوک را به مراجع مربوطه گزارش دهند.