Ivanti, Ivanti Connect Secure, Policy Secure ve ZTA Gateway’leri etkileyen kritik bir güvenlik açığının Aralık 2024 ortasından itibaren aktif olarak istismar edildiği konusunda uyarıyor.
Söz konusu güvenlik açığı CVE-2025-0282 (CVSS puanı: 9.0), 22.7R2.5 sürümünden önce Ivanti Connect Secure’u, 22.7R1.2 sürümünden önce Ivanti Policy Secure’u ve 22.7R2.3 sürümünden önce ZTA ağ geçitleri için Ivanti Neurons’u etkileyen yığın tabanlı bir arabellek taşması.
Ivanti, “CVE-2025-0282’nin başarılı bir şekilde kullanılması, kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilir.” söz konusu bir şekilde danışma. “Tehdit aktörünün faaliyeti, Dürüstlük Denetleme Aracı (ICT) tarafından meydana geldiği gün tespit edildi ve bu, Ivanti’nin derhal yanıt vermesine ve hızlı bir şekilde çözüm geliştirmesine olanak sağladı.”
Şirket tarafından ayrıca, yerel olarak kimliği doğrulanmış bir saldırganın ayrıcalıklarını yükseltmesine olanak tanıyan başka bir yüksek önem dereceli kusur (CVE-2025-0283, CVSS puanı: 7,0) yamalandı. 22.7R2.5 sürümünde giderilen güvenlik açıkları aşağıdaki sürümleri etkilemektedir:
- CVE-2025-0282 – Ivanti Connect Secure 22.7R2 ila 22.7R2.4, Ivanti Policy Secure 22.7R1 ila 22.7R1.2 ve ZTA ağ geçitleri 22.7R2 ila 22.7R2.3 için Ivanti Neurons
- CVE-2025-0283 – Ivanti Connect Secure 22.7R2.4 ve öncesi, 9.1R18.9 ve öncesi, Ivanti Policy Secure 22.7R1.2 ve öncesi ve ZTA ağ geçitleri 22.7R2.3 ve öncesi için Ivanti Neurons
Ivanti, cihazları CVE-2025-0282 nedeniyle istismar edilen “sınırlı sayıda müşterinin” farkında olduğunu kabul etti. Şu anda CVE-2025-0283’ün silah haline getirildiğine dair bir kanıt yok.
CVE-2025-0282’yi kullanan saldırılara ilişkin soruşturmasını ayrıntılı olarak açıklayan Google’ın sahibi Mandiant, SPAWN kötü amaçlı yazılım ekosisteminin dağıtımını gözlemlediğini söyledi. SPAWN’nin kullanımı, orta derecede güvenle UNC5221’in bir parçası olduğu değerlendirilen, UNC5337 adlı Çin bağlantılı bir tehdit aktörüne atfedilmiştir.
Saldırılar aynı zamanda DRYHOOK ve PHASEJAM olarak adlandırılan daha önce belgelenmemiş kötü amaçlı yazılım ailelerinin kurulumuyla da sonuçlandı. Suşların hiçbiri bilinen bir tehdit aktörü veya grubuyla bağlantılı değil.
Siber güvenlik şirketine göre CVE-2025-0282’nin kötüye kullanılması, SELinux’u devre dışı bırakmak, sistem günlüğü iletmeyi önlemek, sürücüyü okuma-yazma olarak yeniden bağlamak, web kabuklarını bırakmak için komut dosyaları yürütmek, belirli günlük girişlerini kaldırmak için sed kullanmak için bir dizi adımın gerçekleştirilmesini gerektirir hata ayıklama ve uygulama günlüklerinden SELinux’u yeniden etkinleştirin ve sürücüyü yeniden bağlayın.
Kabuk betiği kullanılarak yürütülen yüklerden biri, Ivanti Connect Secure cihazı bileşenlerinde kötü niyetli değişiklikler yapmak üzere tasarlanmış bir kabuk betiği bırakıcısı olan PHASEJAM’in başlatılmasından sorumlu bir ELF ikili dosyasını çalıştıran başka bir kabuk betiğidir.
“PHASEJAM’in temel işlevleri, getComponent.cgi ve restAuth.cgi dosyalarına bir web kabuğu eklemek, DSUpgrade.pm dosyasını değiştirerek sistem yükseltmelerini engellemek ve uzaktan hata ayıklama çalıştırılabilir dosyasının üzerine yazmaktır; böylece gerektiğinde rastgele komutları yürütmek için kullanılabilir. belirli bir parametre iletilir” diyor Mandiant araştırmacıları söz konusu.
Web kabuğu, kabuk komutlarının kodunu çözebilir ve komut yürütmenin sonuçlarını saldırgana geri sızdırabilir, virüslü cihaza rastgele dosyalar yükleyebilir ve dosya içeriklerini okuyup iletebilir.
Günlük girişlerinin, çekirdek mesajlarının, kilitlenme izlerinin, sertifika işleme hatalarının ve komut geçmişinin metodik olarak kaldırılması nedeniyle saldırının karmaşık bir tehdit aktörünün işi olduğunu gösteren kanıtlar var.
PHASEJAM ayrıca sahte bir HTML yükseltme ilerleme çubuğu oluşturarak Ivanti cihazına yönelik yasal güncellemeleri gizlice engelleyerek kalıcılık sağlar. Öte yandan, SPAWN kötü amaçlı yazılım çerçevesiyle ilişkili yükleyici bileşeni olan SPAWNANT, sistem yükseltme işlemi sırasında kullanılan bir ikili dosya olan dspkginstall’ın yürütme akışını ele geçirerek sistem yükseltmeleri boyunca varlığını sürdürebilir.
Mandiant, ele geçirilen cihaz ile tehdit aktörünün komuta ve kontrol (C2) altyapısı arasındaki iletişimi kolaylaştırmak için SPAWNMOLE dahil olmak üzere halka açık ve açık kaynaklı çeşitli tünel açma araçlarını gözlemlediğini söyledi.
Sömürü sonrası gerçekleştirilen diğer faaliyetlerden bazıları aşağıda sıralanmıştır:
- Nmap ve dig gibi yerleşik araçları kullanarak dahili ağ keşfi gerçekleştirin
- LDAP sorgularını gerçekleştirmek ve SMB veya RDP aracılığıyla Active Directory sunucuları da dahil olmak üzere ağ içinde yatay olarak hareket etmek için LDAP hizmet hesabını kullanın
- VPN oturumları, oturum çerezleri, API anahtarları, sertifikalar ve kimlik bilgileri ile ilişkili bilgileri içeren uygulama önbellek veritabanını çalın
- Kimlik bilgilerini toplamak için DRYHOOK adlı bir Python betiği dağıtın
Mandiant ayrıca SPAWN, DRYHOOK ve PHASEJAM’in oluşturulmasından ve dağıtımından birden fazla bilgisayar korsanlığı grubunun sorumlu olabileceği konusunda uyardı ancak kusuru hedef alan tehdit aktörlerinin sayısını doğru bir şekilde tahmin etmek için yeterli veriye sahip olmadığını belirtti.
Aktif istismarın ışığında, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), eklendi CVE-2025-0282’den Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) kataloğu, federal kurumların yamaları 15 Ocak 2025’e kadar uygulamasını gerektiriyor. ısrarla Kuruluşların, ortamlarını tehlike işaretleri açısından taramaları ve herhangi bir olayı veya anormal etkinliği bildirmeleri gerekir.
