Ivanti upozorava da je kritična sigurnosna greška koja utiče na Ivanti Connect Secure, Policy Secure i ZTA Gateways bila pod aktivnom eksploatacijom počevši od sredine decembra 2024.
Sigurnosna ranjivost o kojoj je riječ je CVE-2025-0282 (CVSS rezultat: 9,0), prekoračenje bafera zasnovano na steku koji utiče na Ivanti Connect Secure prije verzije 22.7R2.5, Ivanti Policy Secure prije verzije 22.7R1.2 i Ivanti Neurons za ZTA gateway-i prije verzije 22.7R2.3.
“Uspješna eksploatacija CVE-2025-0282 mogla bi dovesti do neautoriziranog daljinskog izvršavanja koda”, rekao je Ivanti u savjetovanju . “Alatka za provjeru integriteta (ICT) identificirala je aktivnost hakera istog dana kada se dogodila, što je omogućilo Ivantiju da brzo odgovori i brzo razvije rješenje.”
Kompanija je takođe zakrpila još jednu veliku grešku (CVE-2025-0283, CVSS rezultat: 7.0) koja omogućava lokalno autentifikovanom napadaču da eskalira svoje privilegije. Ranjivosti, adresirane u verziji 22.7R2.5, utiču na sledeće verzije –
- CVE-2025-0282 – Ivanti Connect Secure 22.7R2 do 22.7R2.4, Ivanti Policy Secure 22.7R1 do 22.7R1.2 i Ivanti Neurons za ZTA pristupnike 22.7R2 do 22.7R2.3
- CVE-2025-0283 – Ivanti Connect Secure 22.7R2.4 i starije verzije, 9.1R18.9 i starije, Ivanti Policy Secure 22.7R1.2 i starije verzije i Ivanti Neurons za ZTA pristupnike 22.7R2.3 i starije
Ivanti je priznao da je svjestan “ograničenog broja kupaca” čiji su uređaji eksploatisani zbog CVE-2025-0282. Trenutno nema dokaza da se CVE-2025-0283 koristi oružjem.
Mandiant u vlasništvu Googlea, koji je detaljno iznio svoju istragu o napadima koji koriste CVE-2025-0282, rekao je da je uočio implementaciju SPAWN ekosistema malicioznog softvera na nekoliko kompromitovanih uređaja iz više organizacija. Upotreba SPAWN-a je pripisana hakera kineske veze pod nazivom UNC5337 , za koji se procjenjuje da je dio UNC5221 sa srednjom pouzdanošću.
Napadi su takođe kulminirali instaliranjem familija malicioznog softvera koji su ranije bili nedokumentovani pod nazivom DRYHOOK i PHASEJAM. Nijedan od sojeva nije povezan s poznatim akterom prijetnje ili grupom.
Eksploatacija CVE-2025-0282, prema kompaniji za kibernetičku sigurnost, uključuje izvođenje niza koraka za onemogućavanje SELinuxa, sprječavanje prosljeđivanja syslog-a, ponovno montiranje diska kao čitanje-pisanje, izvršavanje skripti za ispuštanje web školjki, korištenje sed-a za uklanjanje određenih unosa u dnevnik iz evidencije otklanjanja grešaka i aplikacija, ponovo omogućite SELinux i ponovo montirajte disk.
Jedan od korisnih učitavanja koji se izvršava pomoću shell skripte je još jedna shell skripta koja, zauzvrat, pokreće ELF binarnu datoteku odgovornu za pokretanje PHASEJAM-a, izbacivača shell skripte koji je dizajniran da napravi zlonamjerne modifikacije na komponentama uređaja Ivanti Connect Secure.
“Primarne funkcije PHASEJAM-a su stavljanja web ljuske u datoteke getComponent.cgi i restAuth.cgi, blokiranje nadogradnje sistema modificiranjem datoteke DSUpgrade.pm i prepisivanje izvršne datoteke remotedebug tako da se može koristiti za izvršavanje proizvoljnih naredbi kada određeni parametar je proslijeđen”, rekli su istraživači Mandiant-a .
Web ljuska je sposobna dekodirati komande ljuske i eksfiltrirati rezultate izvršenja komande nazad do napadača, učitavati proizvoljne datoteke na zaraženi uređaj i čitati i prenositi sadržaj datoteke.
Postoje dokazi koji upućuju na to da je napad djelo sofisticiranog hakera zahvaljujući metodičnom uklanjanju unosa dnevnika, poruka kernela, tragova pada, grešaka u rukovanju certifikatima i historije komandi.
PHASEJAM također uspostavlja postojanost prikrivenim blokiranjem legitimnih ažuriranja za Ivanti uređaj tako što prikazuje lažnu traku nadogradnje HTML-a. S druge strane, SPAWNANT, instalaterska komponenta povezana sa SPAWN malware okvirom, može opstati u svim sistemskim nadogradnjama otimanjem toka izvršenja dspkginstall, binarnog fajla koji se koristi tokom procesa nadogradnje sistema.
Mandiant je rekao da je uočio različite javno dostupne i otvorene alate za tuneliranje, uključujući SPAWNMOLE, kako bi se olakšala komunikacija između kompromitovanog uređaja i komandne i kontrolne infrastrukture (C2) aktera prijetnje.
Neke od ostalih aktivnosti koje se provode nakon eksploatacije navedene su u nastavku –
- Izvršite interno izviđanje mreže koristeći ugrađene alate kao što su nmap i dig
- Koristite LDAP servisni nalog za obavljanje LDAP upita i bočno kretanje unutar mreže, uključujući Active Directory servere, kroz SMB ili RDP
- Ukradite bazu podataka predmemorije aplikacije koja sadrži informacije povezane s VPN sesijama, kolačiće sesije, API ključeve, certifikate i materijal vjerodajnica
- Postavite Python skriptu pod nazivom DRYHOOK za prikupljanje vjerodajnica
Mandiant je takođe upozorio da je moguće da je više hakerskih grupa odgovorno za kreiranje i implementaciju SPAWN, DRYHOOK i PHASEJAM, ali je primetio da nema dovoljno podataka za tačnu procenu broja pretnji koje ciljaju grešku.
U svjetlu aktivne eksploatacije, Američka agencija za kibernetičku i infrastrukturnu sigurnost (CISA) dodala je CVE-2025-0282 u katalog poznatih eksploatiranih ranjivosti ( KEV ), zahtijevajući od saveznih agencija da primjene zakrpe do 15. januara 2025. godine. Takođe poziva organizacije na apelaciju. da skeniraju svoje okruženje u potrazi za znakovima kompromisa i prijave svaki incident ili anomalna aktivnost.
Izvor:The Hacker News