VPN, которые больше не спасают: кто убережёт Ivanti от кибернашествия?

Если ваш Connect Secure ещё работает — не расслабляйтесь. Веселье только начинается.

Пользователям VPN-сервисов Ivanti стоит быть начеку: по данным GreyNoise, за последнюю неделю активность сканирования систем Ivanti Connect Secure и Pulse Secure выросла на 800%. Обычно количество таких IP-адресов не превышает 30 в день, но 18 апреля их зафиксировали сразу 234. Из 1004 адресов, замеченных за последние 90 дней, более половины классифицированы как подозрительные или вредоносные.

GreyNoise считает, что столь резкий рост активности может свидетельствовать о подготовке к новым атакам. Хотя подтверждений о новых уязвимостях пока нет, всплески сканирования ранее уже предшествовали их публикациям.

Ivanti напоминает, что поддержка устройств Pulse Secure и старых версий Connect Secure прекращена. Продукты без обновлений особенно уязвимы, и компания призывает срочно переходить на поддерживаемые версии.

Фон напряжения усиливают свежие воспоминания о прошлых атаках. В январе 2025 года Ivanti снова стала мишенью из-за уязвимостей нулевого дня, одна из которых (CVE-2025-0282) получила высокий рейтинг опасности. Японская команда JPCERT подтвердила успешные атаки с её использованием.

Кроме того, появились подозрения, что новое вредоносное ПО DslogdRAT связано с китайской группировкой UNC5221, ответственной за аналогичные атаки в 2024 году. Тогда ситуация усугубилась задержками с выпуском патчей.

В ответ Ivanti пообещала пересмотреть политику безопасности и внедрить более жёсткие стандарты разработки.