В последнем прожекторе по ИБ мы говорили, что недавняя SSRF уязвимость (а фактически обход аутентификации) в Ivan­ti Con­nect Secure (CVE-2024–21893) эксплуатируется в таргетированных атаках — УЖЕ НЕ ТОЛЬКО. 🙂 Пошли массовые атаки. Этому поспособствовала публикация PoC‑а исследователями из Rapid7. 🤷‍♂️ Shad­owserv­er сообщает о 170 засветившихся атакующих IP.

Требование CISA от 31 января поотключать эти инстансы в двухдневный срок выглядит теперь более чем мудро. Правда они рекомендовали отключить их для полного ресета, обновления и возврата в эксплуатацию, а надо было бы отключить совсем. Потому что проклятье Ivan­ti однозначно есть. 🧙‍♀️

С интересом наблюдаю за развитием событий. 🙂🍿