CISA предупреждает о скрытом присутствии вредоносного ПО RESURGE на устройствах Ivanti

В марте 2024 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) опубликовало предупреждение о вредоносном ПО RESURGE, которое используется в атаках на устройства Ivanti Connect Secure. В официальном бюллетене CISA (https://us-cert.cisa.gov/ncas/alerts/aa24-081a) сообщается, что злоумышленники эксплуатируют уязвимость, позволяющую получить несанкционированный доступ и внедрить вредоносный имплант, способный оставаться скрытым длительное время.

По данным CISA, RESURGE — это сложный вредоносный компонент, который может работать в фоновом режиме, что затрудняет его обнаружение и удаление. Вредоносное ПО использует уязвимость в Ivanti Connect Secure, которая затрагивает версии 9.0.x и 10.0.x, позволяя злоумышленникам обходить стандартные меры безопасности и проникать в корпоративные сети через устройства, часто используемые для удалённого доступа и управления.

Для организаций, управляющих внешней поверхностью атаки, эта угроза особенно актуальна. Устройства Ivanti Connect Secure широко применяются для обеспечения защищённого доступа сотрудников и партнёров к внутренним ресурсам. Их компрометация открывает злоумышленникам возможность не только получить доступ к конфиденциальной информации, но и развернуть дальнейшие атаки внутри корпоративной сети.

Особенности вредоносного ПО RESURGE и его внедрения через уязвимость делают эту угрозу критичной для безопасности инфраструктуры:

• По данным CISA, RESURGE может оставаться в спящем режиме, не вызывая подозрений у систем мониторинга.
• Уязвимость позволяет злоумышленникам обходить традиционные методы защиты, включая аутентификацию и контроль доступа.
• Целевыми являются устройства, обеспечивающие удалённый доступ, что расширяет возможности злоумышленников для дальнейших атак.

CISA рекомендует организациям, использующим Ivanti Connect Secure, принять следующие меры:

• Провести аудит всех устройств Ivanti Connect Secure в инфраструктуре для выявления возможных признаков компрометации, используя предоставленные CISA индикаторы компрометации (IoC).
• Обеспечить своевременное применение обновлений и патчей, выпущенных Ivanti для устранения выявленных уязвимостей (актуальные версии и патчи доступны на сайте производителя).
• Усилить мониторинг активности на устройствах удалённого доступа, включая анализ аномалий и подозрительных процессов.
• Внедрить многофакторную аутентификацию и ограничить доступ к критическим системам по принципу минимальных привилегий.
• Рассмотреть использование специализированных решений для обнаружения скрытых вредоносных имплантов и проведения регулярных проверок безопасности.

В условиях роста числа атак на цепочки поставок и инфраструктуру удалённого доступа своевременное выявление и устранение подобных угроз становится ключевым элементом защиты корпоративных сетей. Комплексный подход к управлению внешней поверхностью атаки и постоянное обновление средств защиты помогут минимизировать риски, связанные с вредоносным ПО, подобным RESURGE.