ایوانتی (Ivanti) چندی پیش در اوایل ژانویه ۲۰۲۵، در خصوص یک آسیب پذیری بحرانی (CVE-2025-0282) که بر محصولات Ivanti Connect Secure (نسخههای پیش از 22.7R2.5)، Ivanti Policy Secure (نسخههای پیش از 22.7R1.2) و Ivanti Neurons (نسخههای پیش از 22.7R2.3) این شرکت تاثیر میگذارد، هشدار داد.
اکنون پس از گذشت چند روز، محققان دریافتند که بیش از 379 دستگاه Ivanti Connect Secure (ICS) به دنبال اکسپلویت این آسیب پذیری روز صفر، برای نصب بکدور مورد سوء استفاده قرار گرفته است!
بکدورهای نصب شده توسط مهاجمان امکان دسترسی مداوم به سیستمهای تحت نفوذ، استخراج داده، حرکت جانبی در شبکه و استقرار باج افزار یا سایر پیلودهای مخرب را فراهم میآورند.
CVE-2025-0282 یک آسیب پذیری سرریز بافر مبتنی بر stack در پلتفرمهای مذکور است. Ivanti Connect Secure یک پلتفرم امن برای دسترسی از راه دور به منابع شبکه سازمانی میباشد. این پلتفرم به کاربران اجازه میدهد تا به صورت امن و از هر مکانی به سیستمهای سازمانی متصل شوند.
CVE-2025-0282 در دستگاههای Ivanti Connect Secure به مهاجمان اجازه میدهد تا کد دلخواه را در دستگاههای آسیب پذیر اجرا کنند و به طور بالقوه کنترل کامل سیستمها را به دست آورند. این آسیب پذیری به دلیل استفاده گسترده از دستگاههای ICS در محیطهای سازمانی برای دسترسی از راه دور، بسیار خطرناک است.
کد اکسپلویت (POC) این آسیب پذیری در تاریخ ۱۶ ژانویه ۲۰۲۵ به طور عمومی فاش گردید و سوء استفاده از آن را توسط هکرها تسریع بخشید. اکسپلویت CVE-2025-0282 شامل ارسال پکتهای ساخته شده خاص به دستگاههای ICS آسیب پذیر، ایجاد شرایط سرریز بافر و امکان اجرای کد از راه دور است.
شواهد حاکی از آن است که مهاجمان از این آسیب پذیری برای ایجاد تغییر در کامپوننتهای ICS قانونی استفاده میکنند و به طور مؤثر فعالیتهای مخرب خود را پنهان مینمایند.
اقدامات امنیتی
به سازمان هایی که از نسخههای آسیب پذیر Ivanti Connect Secure استفاده میکنند، اکیدا توصیه میشود که:
- دریافت به روزرسانیها: پچهای Ivanti را برای رفع آسیب پذیری CVE-2025-0282 هرچه سریع تر دریافت و نصب کنند.
- تنظیم مجدد کارخانه: بازگرداندن دستگاه به تنظیمات کارخانه و سپس نصب مجدد فریمور آن در صورت ضرورت پیشنهاد میشود.
- تقسیم بندی شبکه: دستگاههای ICS را از سیستمهای حیاتی جدا نمایید تا حرکت جانبی مهاجمان در شبکه را محدود کنید.
- ارتقاء زیرساختها: جایگزین کردن دستگاههای ICS قدیمی فاقد پشتیبانی با دستگاههای جدیدتر که مکانیزم امنیتی قویتری دارند، پیشنهاد میشود.
پچ محصولات ایوانتی
نسخههای آسیب پذیر و پچ محصولات ایوانتی به شرح زیر میباشند:
CVE | نام محصول | نسخههای آسیب پذیر | نسخه به روزرسانی | در دسترس بودن پچ |
CVE-2025-0282 | Ivanti Connect Secure | 22.7R2 تا 22.7R2.4 | 22.7R2.5 | پرتال دانلود: https://portal.ivanti.com/ |
CVE-2025-0283 | Ivanti Connect Secure | 22.7R2.4 و نسخههای قبلی؛ 9.1R18.9 و نسخههای قبلی | 22.7R2.5 | پرتال دانلود: https://portal.ivanti.com/ |
CVE-2025-0282 | Ivanti Policy Secure | 22.7R1 تا 22.7R1.2 | 22.7R1.3 | پرتال دانلود: |
CVE-2025-0283 | Ivanti Policy Secure | نسخههای 22.7R1.2 و پایین تر | 22.7R1.3 | پرتال دانلود: |
CVE-2025-0282 | Ivanti Neurons برای گیتویهای ZTA | 22.7R2 تا 22.7R2.3 | 22.7R2.5 | سرویس ابری هجدهم ژانویه ۲۰۲۵ بصورت اتومات به روزرسانی شد |
CVE-2025-0283 | Ivanti Neurons برای گیتویهای ZTA | نسخههای 22.7R2.3 و پایین تر | 22.7R2.5 | سرویس ابری هجدهم ژانویه ۲۰۲۵ بصورت اتومات به روزرسانی شد |
با توجه به بحرانی بودن این آسیب پذیری و اکسپلویت فعال آن، توصیه میشود هر چه سریعتر اقدامات امنیتی برای محافظت از سیستمها در برابر حملات احتمالی اتخاذ گردد. مدیریت پچ و پیاده سازی استراتژیهای واکنش به رخداد قوی برای محافظت در برابر تهدیدات سایبری پیچیده ضروری است.
