Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Ivanti Flaw CVE-2025-0282 Explotado activamente, Impactos Conexión segura y Política segura
  • Tecnología

Ivanti Flaw CVE-2025-0282 Explotado activamente, Impactos Conexión segura y Política segura

teknomers 9 de Ocak de 2025 (Last updated: 9 de Ocak de 2025) 5 minutes read
Ivanti Flaw CVE-2025-0282 Explotado activamente, Impactos Conexión segura y Política


Ivanti advierte que una falla de seguridad crítica que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways ha sido objeto de explotación activa en estado salvaje a partir de mediados de diciembre de 2024.

La vulnerabilidad de seguridad en cuestión es CVE-2025-0282 (puntuación CVSS: 9.0), un desbordamiento del búfer basado en pila que afecta a Ivanti Connect Secure antes de la versión 22.7R2.5, Ivanti Policy Secure antes de la versión 22.7R1.2 e Ivanti Neurons para puertas de enlace ZTA antes de la versión 22.7R2.3.

“La explotación exitosa de CVE-2025-0282 podría conducir a la ejecución remota de código no autenticado”, Ivanti dicho en un consultivo. “La actividad de los actores de amenazas fue identificada por la herramienta Integrity Checker (ICT) el mismo día que ocurrió, lo que permitió a Ivanti responder rápidamente y desarrollar una solución rápidamente”.

La empresa también parchó otra falla de alta gravedad (CVE-2025-0283, puntuación CVSS: 7.0) que permite a un atacante autenticado localmente escalar sus privilegios. Las vulnerabilidades, abordadas en la versión 22.7R2.5, afectan a las siguientes versiones:

  • CVE-2025-0282: Ivanti Connect Secure 22.7R2 a 22.7R2.4, Ivanti Policy Secure 22.7R1 a 22.7R1.2 e Ivanti Neurons para puertas de enlace ZTA 22.7R2 a 22.7R2.3
  • CVE-2025-0283: Ivanti Connect Secure 22.7R2.4 y anteriores, 9.1R18.9 y anteriores, Ivanti Policy Secure 22.7R1.2 y anteriores, e Ivanti Neurons para puertas de enlace ZTA 22.7R2.3 y anteriores

Ivanti ha reconocido que tiene conocimiento de un “número limitado de clientes” cuyos dispositivos han sido explotados debido a CVE-2025-0282. Actualmente no hay evidencia de que CVE-2025-0283 esté siendo utilizado como arma.

Ciberseguridad

Mandiant, propiedad de Google, que detalló su investigación sobre ataques que explotan CVE-2025-0282, dijo que observó la implementación del ecosistema de malware SPAWN en varios dispositivos comprometidos de múltiples organizaciones. El uso de SPAWN se ha atribuido a un actor de amenazas del nexo con China denominado UNC5337, que se considera parte de UNC5221 con confianza media.

Los ataques también culminaron con la instalación de familias de malware previamente no documentadas denominadas DRYHOOK y PHASEJAM. Ninguna de las cepas se ha relacionado con un actor o grupo de amenazas conocido.

La explotación de CVE-2025-0282, según la empresa de ciberseguridad, implica realizar una serie de pasos para deshabilitar SELinux, evitar el reenvío de syslog, volver a montar la unidad como lectura-escritura, ejecutar scripts para eliminar web shells y usar sed para eliminar entradas de registro específicas. desde los registros de depuración y aplicación, vuelva a habilitar SELinux y vuelva a montar la unidad.

Una de las cargas útiles ejecutadas utilizando el script de shell es otro script de shell que, a su vez, ejecuta un binario ELF responsable de iniciar PHASEJAM, un dropper de scripts de shell diseñado para realizar modificaciones maliciosas en los componentes del dispositivo Ivanti Connect Secure.

“Las funciones principales de PHASEJAM son insertar un shell web en los archivos getComponent.cgi y restAuth.cgi, bloquear las actualizaciones del sistema modificando el archivo DSUpgrade.pm y sobrescribir el ejecutable de control remoto para que pueda usarse para ejecutar comandos arbitrarios cuando se pasa un parámetro específico”, afirman los investigadores de Mandiant dicho.

El shell web es capaz de decodificar comandos del shell y filtrar los resultados de la ejecución del comando al atacante, cargar archivos arbitrarios en el dispositivo infectado y leer y transmitir el contenido del archivo.

Hay evidencia que sugiere que el ataque es obra de un actor de amenazas sofisticado debido a la eliminación metódica de entradas de registro, mensajes del kernel, seguimientos de fallas, errores de manejo de certificados e historial de comandos.

PHASEJAM también establece persistencia al bloquear encubiertamente actualizaciones legítimas del dispositivo Ivanti mostrando una barra de progreso de actualización HTML falsa. Por otro lado, SPAWNANT, el componente de instalación asociado con el marco de malware SPAWN, puede persistir en las actualizaciones del sistema secuestrando el flujo de ejecución de dspkginstall, un binario utilizado durante el proceso de actualización del sistema.

Mandiant dijo que observó varias utilidades de túneles de código abierto y disponibles públicamente, incluido SPAWNMOLE, para facilitar las comunicaciones entre el dispositivo comprometido y la infraestructura de comando y control (C2) del actor de amenazas.

Ciberseguridad

Algunas de las otras actividades posteriores a la explotación realizadas se enumeran a continuación:

  • Realice un reconocimiento de la red interna utilizando herramientas integradas como nmap y dig
  • Utilice la cuenta de servicio LDAP para realizar consultas LDAP y moverse lateralmente dentro de la red, incluidos servidores Active Directory, a través de SMB o RDP.
  • Robar la base de datos de caché de aplicaciones que contiene información asociada con sesiones de VPN, cookies de sesión, claves API, certificados y material de credenciales.
  • Implemente un script de Python llamado DRYHOOK para recopilar credenciales

Mandiant también advirtió que es posible que varios grupos de hackers sean responsables de la creación y el despliegue de SPAWN, DRYHOOK y PHASEJAM, pero señaló que no tiene datos suficientes para estimar con precisión la cantidad de actores de amenazas que apuntan a la falla.

A la luz de la explotación activa, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado CVE-2025-0282 a las vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias federales apliquen los parches antes del 15 de enero de 2025. También es instando organizaciones para escanear sus entornos en busca de signos de compromiso e informar cualquier incidente o actividad anómala.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Qué está pasando en Finlandia? Una marca de ropa popular en graves dificultades financieras
Next: Domenico Tedesco se enfrenta a su retirada como seleccionador belga

Related Stories

Nothing Projector: hasta 420 € de descuento en las pantallas
  • Tecnología

Nothing Projector: hasta 420 € de descuento en las pantallas Black Series para disfrutar de las noches con amigos en (muy) grande

teknomers 10 de Temmuz de 2026
¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software
  • Tecnología

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software a menos de 22€ lo soluciona de por vida.

teknomers 10 de Temmuz de 2026
Volotea aumentaba el precio de los billetes después de la
  • Tecnología

Volotea aumentaba el precio de los billetes después de la compra, una práctica que ha disparado la represión de fraudes.

teknomers 10 de Temmuz de 2026

You May Have Missed

  • General

Consejos de vida sobre cómo rendir bajo presión por Pelé: El mejor consejo para la vida por Pelé: ‘La Copa del Mundo es una manera muy importante de medir a los buenos jugadores, y el…’ – lecciones de vida inspiradoras del Rey del Fútbol que enseñan por qué los campeones se forjan en momentos difíciles y por qué cada desafío es una oportunidad para demostrar tu valía.

teknomers 10 de Temmuz de 2026
Nothing Projector: hasta 420 € de descuento en las pantallas
  • Tecnología

Nothing Projector: hasta 420 € de descuento en las pantallas Black Series para disfrutar de las noches con amigos en (muy) grande

teknomers 10 de Temmuz de 2026
DESCIFRADO. "El Tarn no está listo para un club gay"...
  • salud

DESCIFRADO. “El Tarn no está listo para un club gay”… ¿Por qué el proyecto del Rainbow Club finalmente fracasó cerca de Albi?

teknomers 10 de Temmuz de 2026
Patrick Bruel enfrentará una nueva demanda por violación de una
  • Entretenimiento

Patrick Bruel enfrentará una nueva demanda por violación de una víctima menor de edad.

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.