Все пишут про атаки на Ivanti Connect Secure / Ivanti Policy Secure с использованием 0Day RCE уязвимости (CVE-2023–46805, CVE-2024–21887). Там одна CVE это Authentication Bypass, вторая Command Injection, а вместе дают RCE. Первые атаки зарегистрировали 3 декабря. В ходе атак злоумышленники устанавливали вебшелл GLASSTOKEN. Публичного PoC‑а пока нет. Обновлений пока нет, но есть mitigation file.
На Ivanti прям проклятье какое-то. 🫣 В прошлом году была эпопея с Ivanti EPMM (CVE-2023–35078). До этого несколько лет выходило множество критичных эксплуатабельных уязвимостей Ivanti Pulse Connect Secure. У Tenable в блоге прикольная историческая подборочка на эту тему.