Все пишут про атаки на Ivan­ti Con­nect Secure / Ivan­ti Pol­i­cy Secure с использованием 0Day RCE уязвимости (CVE-2023–46805, CVE-2024–21887). Там одна CVE это Authen­ti­ca­tion Bypass, вторая Com­mand Injec­tion, а вместе дают RCE. Первые атаки зарегистрировали 3 декабря. В ходе атак злоумышленники устанавливали вебшелл GLASSTOKEN. Публичного PoC‑а пока нет. Обновлений пока нет, но есть mit­i­ga­tion file.

На Ivan­ti прям проклятье какое-то. 🫣 В прошлом году была эпопея с Ivan­ti EPMM (CVE-2023–35078). До этого несколько лет выходило множество критичных эксплуатабельных уязвимостей Ivan­ti Pulse Con­nect Secure. У Ten­able в блоге прикольная историческая подборочка на эту тему.