Ivanti advierte que una falla de seguridad cr\u00edtica que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways ha sido objeto de explotaci\u00f3n activa en estado salvaje a partir de mediados de diciembre de 2024.<\/p>\n
La vulnerabilidad de seguridad en cuesti\u00f3n es CVE-2025-0282<\/strong> (puntuaci\u00f3n CVSS: 9.0), un desbordamiento del b\u00fafer basado en pila que afecta a Ivanti Connect Secure antes de la versi\u00f3n 22.7R2.5, Ivanti Policy Secure antes de la versi\u00f3n 22.7R1.2 e Ivanti Neurons para puertas de enlace ZTA antes de la versi\u00f3n 22.7R2.3.<\/p>\n “La explotaci\u00f3n exitosa de CVE-2025-0282 podr\u00eda conducir a la ejecuci\u00f3n remota de c\u00f3digo no autenticado”, Ivanti dicho<\/a> en un consultivo<\/a>. “La actividad de los actores de amenazas fue identificada por la herramienta Integrity Checker (ICT) el mismo d\u00eda que ocurri\u00f3, lo que permiti\u00f3 a Ivanti responder r\u00e1pidamente y desarrollar una soluci\u00f3n r\u00e1pidamente”.<\/p>\n La empresa tambi\u00e9n parch\u00f3 otra falla de alta gravedad (CVE-2025-0283, puntuaci\u00f3n CVSS: 7.0) que permite a un atacante autenticado localmente escalar sus privilegios. Las vulnerabilidades, abordadas en la versi\u00f3n 22.7R2.5, afectan a las siguientes versiones:<\/p>\n Ivanti ha reconocido que tiene conocimiento de un “n\u00famero limitado de clientes” cuyos dispositivos han sido explotados debido a CVE-2025-0282. Actualmente no hay evidencia de que CVE-2025-0283 est\u00e9 siendo utilizado como arma.<\/p>\n Mandiant, propiedad de Google, que detall\u00f3 su investigaci\u00f3n sobre ataques que explotan CVE-2025-0282, dijo que observ\u00f3 la implementaci\u00f3n del ecosistema de malware SPAWN en varios dispositivos comprometidos de m\u00faltiples organizaciones. El uso de SPAWN se ha atribuido a un actor de amenazas del nexo con China denominado UNC5337, que se considera parte de UNC5221 con confianza media.<\/p>\n Los ataques tambi\u00e9n culminaron con la instalaci\u00f3n de familias de malware previamente no documentadas denominadas DRYHOOK y PHASEJAM. Ninguna de las cepas se ha relacionado con un actor o grupo de amenazas conocido.<\/p>\n La explotaci\u00f3n de CVE-2025-0282, seg\u00fan la empresa de ciberseguridad, implica realizar una serie de pasos para deshabilitar SELinux, evitar el reenv\u00edo de syslog, volver a montar la unidad como lectura-escritura, ejecutar scripts para eliminar web shells y usar sed para eliminar entradas de registro espec\u00edficas. desde los registros de depuraci\u00f3n y aplicaci\u00f3n, vuelva a habilitar SELinux y vuelva a montar la unidad.<\/p>\n Una de las cargas \u00fatiles ejecutadas utilizando el script de shell es otro script de shell que, a su vez, ejecuta un binario ELF responsable de iniciar PHASEJAM, un dropper de scripts de shell dise\u00f1ado para realizar modificaciones maliciosas en los componentes del dispositivo Ivanti Connect Secure.<\/p>\n “Las funciones principales de PHASEJAM son insertar un shell web en los archivos getComponent.cgi y restAuth.cgi, bloquear las actualizaciones del sistema modificando el archivo DSUpgrade.pm y sobrescribir el ejecutable de control remoto para que pueda usarse para ejecutar comandos arbitrarios cuando se pasa un par\u00e1metro espec\u00edfico”, afirman los investigadores de Mandiant dicho<\/a>.<\/p>\n El shell web es capaz de decodificar comandos del shell y filtrar los resultados de la ejecuci\u00f3n del comando al atacante, cargar archivos arbitrarios en el dispositivo infectado y leer y transmitir el contenido del archivo.<\/p>\n Hay evidencia que sugiere que el ataque es obra de un actor de amenazas sofisticado debido a la eliminaci\u00f3n met\u00f3dica de entradas de registro, mensajes del kernel, seguimientos de fallas, errores de manejo de certificados e historial de comandos.<\/p>\n PHASEJAM tambi\u00e9n establece persistencia al bloquear encubiertamente actualizaciones leg\u00edtimas del dispositivo Ivanti mostrando una barra de progreso de actualizaci\u00f3n HTML falsa. Por otro lado, SPAWNANT, el componente de instalaci\u00f3n asociado con el marco de malware SPAWN, puede persistir en las actualizaciones del sistema secuestrando el flujo de ejecuci\u00f3n de dspkginstall, un binario utilizado durante el proceso de actualizaci\u00f3n del sistema.<\/p>\n Mandiant dijo que observ\u00f3 varias utilidades de t\u00faneles de c\u00f3digo abierto y disponibles p\u00fablicamente, incluido SPAWNMOLE, para facilitar las comunicaciones entre el dispositivo comprometido y la infraestructura de comando y control (C2) del actor de amenazas.<\/p>\n Algunas de las otras actividades posteriores a la explotaci\u00f3n realizadas se enumeran a continuaci\u00f3n:<\/p>\n Mandiant tambi\u00e9n advirti\u00f3 que es posible que varios grupos de hackers sean responsables de la creaci\u00f3n y el despliegue de SPAWN, DRYHOOK y PHASEJAM, pero se\u00f1al\u00f3 que no tiene datos suficientes para estimar con precisi\u00f3n la cantidad de actores de amenazas que apuntan a la falla.<\/p>\n A la luz de la explotaci\u00f3n activa, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado<\/a> CVE-2025-0282 a las vulnerabilidades explotadas conocidas (KEV<\/a>), lo que exige que las agencias federales apliquen los parches antes del 15 de enero de 2025. Tambi\u00e9n es instando<\/a> organizaciones para escanear sus entornos en busca de signos de compromiso e informar cualquier incidente o actividad an\u00f3mala.<\/p>\n <\/p>\n\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Ivanti-Flaw-CVE-2025-0282-Explotado-activamente-Impactos-Conexion-segura-y-Politica.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n\n