Hackeri chinezi au exploatat breșe VPN pentru a accesa rețelele a peste o sută de clienți Ivanti, inclusiv contractori militari

În februarie 2021, compania de software Ivanti a descoperit că hackeri chinezi au compromis rețeaua Pulse Secure, una dintre subsidiarele sale care furniza echipamente VPN pentru zeci de companii și agenții guvernamentale din întreaga lume, potrivit unor dezvăluiri recente.

Atacatorii au exploatat o „backdoor” secretă pe care o instalaseră anterior în software-ul VPN al Pulse Secure, conform relatărilor ce îl citează pe fostul director de securitate al Ivanti și alte surse. Această ușă din spate le-a permis hackerilor să obțină acces la 119 alte organizații neidentificate, care foloseau același produs VPN al companiei.

Și firma Mandiant ar fi avut cunoștință de aceste compromiteri, avertizând Ivanti că vulnerabilitatea a fost exploatată pentru a pătrunde în rețelele unor contractori militari din Europa și Statele Unite.

Acest incident, neraportat până acum public, este un nou exemplu al modului în care achizițiile, restructurările și reducerile de costuri impuse de fondurile de investiții private au subminat calitatea și securitatea celor mai critice tehnologii ale Ivanti. După ce gigantul de investiții Clearlake Capital Group a cumpărat Ivanti în 2017, au urmat mai multe runde de concedieri — în special în 2022 — care au afectat angajați cu o cunoaștere profundă a produselor companiei și a aspectelor lor de securitate.

Ivanti și Mandiant nu au răspuns solicitărilor de comentarii.

Constatările legate de Ivanti se aseamănă cu relatările anterioare privind un alt furnizor de instrumente de acces la distanță, Citrix. După o tranzacție din 2022 prin care fondurile Elliott Investment Management și Vista Equity Partners au preluat compania, Citrix a trecut prin disponibilizări masive. În anii ce au urmat, Citrix a fost la rândul ei marcată de incidente de securitate cibernetică și vulnerabilități critice.

Produsele VPN ale Ivanti au stat la baza a cel puțin două alte atacuri majore. În prima parte a anului 2024, agenția de securitate cibernetică a Statelor Unite, CISA, a ordonat tuturor agențiilor federale să deconecteze în termen de două zile echipamentele VPN Ivanti, din cauză că hackerii exploatau activ vulnerabilități necunoscute atunci companiei. Tot anul trecut, Ivanti și-a avertizat clienții că atacatori cibernetici profitau de o altă defecțiune critică în produsul Connect Secure pentru a compromite rețele ale unor clienti corporativi.