Ivanti сообщила о начале использования критической уязвимости, затрагивающей продукты Connect Secure, Policy Secure и Neurons for ZTA Gateway
10/01/25
Эта уязвимость представляет собой переполнение буфера в стеке, позволяющее злоумышленникам выполнять удалённый код без авторизации, пишут в Securitylab.
Ivanti сообщила, что угрозу удалось выявить благодаря инструменту Integrity Checker Tool (ICT), который зафиксировал активность в день её проявления. Это позволило компании оперативно выпустить исправления. Параллельно была выявлена и устранена уязвимость CVE-2025-0283 (CVSS 7.0), позволяющая локальным пользователям повышать свои привилегии. Проблемы исправлены в версии 22.7R2.5.
Компания Mandiant обнаружила, что уязвимость CVE-2025-0282 использовалась хакерами, связанными с китайской группой UNC5337. В ходе атак применялась вредоносная экосистема SPAWN, включая ранее неизвестные программы DRYHOOK и PHASEJAM.
Атаки включали отключение SELinux, изменение логов, размещение веб-шеллов и запуск ELF-бинарников, таких как PHASEJAM. Этот скрипт блокирует обновления системы и вносит изменения в файлы компонентов устройства. Используемые веб-шеллы позволяют передавать команды злоумышленникам, загружать файлы и читать данные.
Эксплуатация также включала:
- Проведение внутренней разведки сети через инструменты nmap и dig.
- Использование LDAP для запросов к Active Directory и горизонтального перемещения.
- Кражу базы данных сессий VPN, API-ключей и учётных данных.
- Сбор паролей через Python-скрипт DRYHOOK.