В среду, 8 января 2025 года, компания Ivanti сообщила о двух уязвимостях, CVE-2025-0282 и CVE-2025-0283, которые затрагивают VPN-устройства Ivanti Connect Secure («ICS»). Одну из этих уязвимостей, CVE-2025-0282, обнаружила компания Mandiant и она была использована в хакерской атаке, начиная с декабря 2024 года. Уязвимость CVE-2025-0282 представляет собой неаутентифицированное переполнение буфера на основе стека, которое может привести к удаленному выполнению кода без аутентификации.
Описание
Ivanti и их клиенты обнаружили компрометацию путем мониторинга безопасности. Компания тесно сотрудничает с Mandiant, пострадавшими клиентами, правительственными партнерами и поставщиками безопасности для решения проблем. Были выпущены исправления для уязвимостей, используемых в этой атаке, и Ivanti рекомендует своим клиентам как можно скорее выполнить соответствующие действия для защиты своих систем.
Mandiant в настоящее время проводит анализ скомпрометированных устройств Ivanti Connect Secure из различных организаций. Они обнаружили развертывание различных вредоносных программ, таких как SPAWN, DRYHOOK и PHASEJAM. Однако пока нет достаточных данных, чтобы точно определить количество злоумышленников, нацеленных на уязвимость CVE-2025-0282.
Процесс эксплуатации уязвимости CVE-2025-0282 может варьироваться, но в целом эксплойты выполняют ряд действий, таких как отключение SELinux, блокировка пересылки syslog, изменение режима монтирования диска, написание и выполнение скрипта, развертывание веб-оболочек и удаление записей из журналов.
Злоумышленники также использовали скрипт оболочки, чтобы эхо-кодировать Base64-скрипт в файл /tmp/.t и установить права на его выполнение. Затем они записывают двоичный файл ELF в файл svb в кодировке Base-64, который запускает PHASEJAM. PHASEJAM - это дроппер, написанный на языке оболочки bash, который выполняет вредоносные действия на скомпрометированном устройстве.
В заключение, Ivanti и Mandiant работают над решением выявленных уязвимостей и следят за развертыванием вредоносных программ на скомпрометированных устройствах. Были предложены исправления, и клиентам рекомендуется их как можно скорее установить. Mandiant продолжает проводить анализ и обновлять информацию о совершаемых атаках и использованных методах.
Indicators of Compromise
SHA256
- 366635c00b8e6f749a4d948574a0f1e7b4c842ca443176de27af45debbc14f71
- 443f3aeb9c33eaa900a99f2dba18ba9c43f8d85089ee9d2d3c72794d8023aa4e
- 63b386027ee268f1921f7b605a36cd91d08921f86ea5c6dd10f1808d25114b9d
- a3dbcc9d4e1dd523f2848689f7e0753465de6188cfac4d3a52389ab1ec3db836
- aff3c01cfe15e17834bae4a5d684ef31ab99c0f4ab6a7b17676d53282e4bad1b