Ivanti advierte que una falla de seguridad crítica que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways ha sido objeto de explotación activa en estado salvaje a partir de mediados de diciembre de 2024.
La vulnerabilidad de seguridad en cuestión es CVE-2025-0282 (puntuación CVSS: 9.0), un desbordamiento del búfer basado en pila que afecta a Ivanti Connect Secure antes de la versión 22.7R2.5, Ivanti Policy Secure antes de la versión 22.7R1.2 e Ivanti Neurons para puertas de enlace ZTA antes de la versión 22.7R2.3.
“La explotación exitosa de CVE-2025-0282 podría conducir a la ejecución remota de código no autenticado”, Ivanti dicho en un consultivo. “La actividad de los actores de amenazas fue identificada por la herramienta Integrity Checker (ICT) el mismo día que ocurrió, lo que permitió a Ivanti responder rápidamente y desarrollar una solución rápidamente”.
La empresa también parchó otra falla de alta gravedad (CVE-2025-0283, puntuación CVSS: 7.0) que permite a un atacante autenticado localmente escalar sus privilegios. Las vulnerabilidades, abordadas en la versión 22.7R2.5, afectan a las siguientes versiones:
- CVE-2025-0282: Ivanti Connect Secure 22.7R2 a 22.7R2.4, Ivanti Policy Secure 22.7R1 a 22.7R1.2 e Ivanti Neurons para puertas de enlace ZTA 22.7R2 a 22.7R2.3
- CVE-2025-0283: Ivanti Connect Secure 22.7R2.4 y anteriores, 9.1R18.9 y anteriores, Ivanti Policy Secure 22.7R1.2 y anteriores, e Ivanti Neurons para puertas de enlace ZTA 22.7R2.3 y anteriores
Ivanti ha reconocido que tiene conocimiento de un “número limitado de clientes” cuyos dispositivos han sido explotados debido a CVE-2025-0282. Actualmente no hay evidencia de que CVE-2025-0283 esté siendo utilizado como arma.
Mandiant, propiedad de Google, que detalló su investigación sobre ataques que explotan CVE-2025-0282, dijo que observó la implementación del ecosistema de malware SPAWN en varios dispositivos comprometidos de múltiples organizaciones. El uso de SPAWN se ha atribuido a un actor de amenazas del nexo con China denominado UNC5337, que se considera parte de UNC5221 con confianza media.
Los ataques también culminaron con la instalación de familias de malware previamente no documentadas denominadas DRYHOOK y PHASEJAM. Ninguna de las cepas se ha relacionado con un actor o grupo de amenazas conocido.
La explotación de CVE-2025-0282, según la empresa de ciberseguridad, implica realizar una serie de pasos para deshabilitar SELinux, evitar el reenvío de syslog, volver a montar la unidad como lectura-escritura, ejecutar scripts para eliminar web shells y usar sed para eliminar entradas de registro específicas. desde los registros de depuración y aplicación, vuelva a habilitar SELinux y vuelva a montar la unidad.
Una de las cargas útiles ejecutadas utilizando el script de shell es otro script de shell que, a su vez, ejecuta un binario ELF responsable de iniciar PHASEJAM, un dropper de scripts de shell diseñado para realizar modificaciones maliciosas en los componentes del dispositivo Ivanti Connect Secure.
“Las funciones principales de PHASEJAM son insertar un shell web en los archivos getComponent.cgi y restAuth.cgi, bloquear las actualizaciones del sistema modificando el archivo DSUpgrade.pm y sobrescribir el ejecutable de control remoto para que pueda usarse para ejecutar comandos arbitrarios cuando se pasa un parámetro específico”, afirman los investigadores de Mandiant dicho.
El shell web es capaz de decodificar comandos del shell y filtrar los resultados de la ejecución del comando al atacante, cargar archivos arbitrarios en el dispositivo infectado y leer y transmitir el contenido del archivo.
Hay evidencia que sugiere que el ataque es obra de un actor de amenazas sofisticado debido a la eliminación metódica de entradas de registro, mensajes del kernel, seguimientos de fallas, errores de manejo de certificados e historial de comandos.
PHASEJAM también establece persistencia al bloquear encubiertamente actualizaciones legítimas del dispositivo Ivanti mostrando una barra de progreso de actualización HTML falsa. Por otro lado, SPAWNANT, el componente de instalación asociado con el marco de malware SPAWN, puede persistir en las actualizaciones del sistema secuestrando el flujo de ejecución de dspkginstall, un binario utilizado durante el proceso de actualización del sistema.
Mandiant dijo que observó varias utilidades de túneles de código abierto y disponibles públicamente, incluido SPAWNMOLE, para facilitar las comunicaciones entre el dispositivo comprometido y la infraestructura de comando y control (C2) del actor de amenazas.
Algunas de las otras actividades posteriores a la explotación realizadas se enumeran a continuación:
- Realice un reconocimiento de la red interna utilizando herramientas integradas como nmap y dig
- Utilice la cuenta de servicio LDAP para realizar consultas LDAP y moverse lateralmente dentro de la red, incluidos servidores Active Directory, a través de SMB o RDP.
- Robar la base de datos de caché de aplicaciones que contiene información asociada con sesiones de VPN, cookies de sesión, claves API, certificados y material de credenciales.
- Implemente un script de Python llamado DRYHOOK para recopilar credenciales
Mandiant también advirtió que es posible que varios grupos de hackers sean responsables de la creación y el despliegue de SPAWN, DRYHOOK y PHASEJAM, pero señaló que no tiene datos suficientes para estimar con precisión la cantidad de actores de amenazas que apuntan a la falla.
A la luz de la explotación activa, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado CVE-2025-0282 a las vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias federales apliquen los parches antes del 15 de enero de 2025. También es instando organizaciones para escanear sus entornos en busca de signos de compromiso e informar cualquier incidente o actividad anómala.
About the Author
