Компания Ivanti раскрыла критическую уязвимость безопасности, которая затрагивает VPN-устройства Ivanti Connect Secure (ICS) версии 22.7R2.5 и более ранние. Уязвимость, обозначенная как CVE-2025-22457, представляет собой переполнение буфера, которое может привести к удаленному выполнению кода. Исследователи из Mandiant и Ivanti заметили признаки активной эксплуатации уязвимости против версий ICS 9.X (которые уже не поддерживаются компанией) и 22.7R2.5 и более ранних версий.
Описание
Эксплуатация уязвимости CVE-2025-22457 была обнаружена в середине марта 2025 года. После успешной эксплуатации было замечено появление двух новых семейств вредоносных программ - TRAILBLAZE, который работает только в памяти, и BRUSHFIRE - пассивного бэкдора. Также было отмечено развертывание экосистемы вредоносных программ SPAWN, связывающейся с предполагаемым китайским шпионским агентом UNC5221. Уязвимость была заполнена патчем в версии ICS 22.7R2.6, выпущенным 11 февраля 2025 года. Однако злоумышленники смогли обнаружить, что предыдущие версии ICS можно эксплуатировать для удаленного выполнения кода.
Ivanti выпустила исправления для уязвимости и настоятельно рекомендует своим клиентам выполнить соответствующие действия для защиты своих систем. После успешной эксплуатации уязвимости, исследователи Mandiant обнаружили два новых семейства вредоносных программ - TRAILBLAZE и BRUSHFIRE. TRAILBLAZE является дроппером, работающим только в памяти, который внедряет пассивный бэкдор BRUSHFIRE в запущенный процесс. Кроме того, наблюдалось развертывание экосистемы вредоносных программ SPAWN, связанной с предполагаемым китайским шпионским агентом UNC5221.
BRUSHFIRE - это пассивный бэкдор, который работает как крючок SSL_read. Он проверяет возвращаемые данные и, если они начинаются со строки, выполняет расшифровку и запуск шелл-кода. SPAWNSLOTH, другой компонент экосистемы, нацелен на процесс dslogserver, чтобы отключить локальное ведение журнала и удаленную пересылку syslog. SPAWNSNARE - это утилита, которая позволяет извлекать образ ядра Linux и зашифровывать его с помощью AES.
SPAWNWAVE - это усовершенствованная версия SPAWNANT, объединяющая возможности других компонентов экосистемы. Необходимо отметить, что эти поведения могут быть изменены или запущены заново, если система или процесс будет перезагружен.
Indicators of Compromise
MD5
- 10659b392e7f5b30b375b94cae4fdca0
- 4628a501088c31f53b5c9ddf6788e835
- 6e01ef1367ea81994578526b3bd331d6
- ce2b6a554ae46b5eb7d79ca5e7f440da
- e5192258c27e712c7acf80303e68980b
SHA256
- 0066a643db06125f6faa98f1efa73cbcae674a322a47d22eef479169f814dc95
- 04e79c022071f1e404b8ac5d2e7d3f228795385ad45f225b1bacc65f4e3d76b1
- 350b3c2c99a9b849b454e0ce35cb3dc3b1c386cc9c8be90e77389c500f3e400a
- 612988314d14ea3005286eac914722aac75691c6afc0a49108cfbfe98936e8ed
- b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d
