Взломаны тысячи VPN-устройств

16.01.2024 |

Согласно последним данным специалистов компании Volexity, 14 января было зафиксировано более 1 700 скомпрометированных VPN-устройств Connect Secure веб-шеллом GIFFEDVISITOR.

Хакеры все чаще используют в своих атаках CVE-2023-46805 и CVE-2024-21887. Список жертв в основном включает государственные и частные организации по всему миру, среди которых военные учреждения, национальные телекоммуникационные компании, оборонные подрядчики, технологические компании, банки, финансовые и бухгалтерские организации, мировые консалтинговые компании, а также фирмы в аэрокосмической, авиационной и инженерной отраслях.

Подтверждено, что злоумышленники могут выполнять произвольные команды на всех поддерживаемых версиях VPN Connect Secure и устройствах Policy Secure, успешно сочетая две ранее выявленные уязвимости CVE-2023-46805 и CVE-2024-21887.

К активной эксплуатации этих уязвимостей присоединилось множество новых хакерских группировок.

«VPN-устройства Invanti на протяжении последнего месяца подвергаются хакерским атакам. В них была выявлена уязвимость нулевого дня, которую используют злоумышленники для проникновения в локальные сети предприятий. Большинство устройств от данного производителя расположены на территории США, однако VPN-устройства устанавливаются в демилитаризованной зоне сети, и они доступны из внешних сетей, что делает их первоочередной целью для атаки злоумышленников. Здесь важно тщательно защитить свои устройства, к которым есть доступ из вне. Даже правильно настроенное устройство может быть взломано, если в нем есть не устранённая уязвимость нулевого дня. Администратор информационной безопасности должен использовать не только встроенные возможности таких устройств, но и применять специальные средства защиты информации, которые позволяют анализировать конфигурации сетевого оборудования, сигнализировать о внесение изменений в конфигурацию, выявлять наличие известных уязвимостей, проводить контроль политик сетевого доступа на межсетевых экранах. Например, в качестве такого средства может использоваться российская платформа корпоративного уровня EFROS Defence Operations», – говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.