{"id":1602214,"date":"2025-03-30T04:29:31","date_gmt":"2025-03-30T06:29:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/resurre-les-logiciels-malveillants-exploite-ivanti-flaw-avec-rootkit-et-les-fonctionnalites-du-shell-web\/"},"modified":"2025-03-30T04:29:36","modified_gmt":"2025-03-30T06:29:36","slug":"resurre-les-logiciels-malveillants-exploite-ivanti-flaw-avec-rootkit-et-les-fonctionnalites-du-shell-web","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/resurre-les-logiciels-malveillants-exploite-ivanti-flaw-avec-rootkit-et-les-fonctionnalites-du-shell-web\/","title":{"rendered":"Resurre les logiciels malveillants exploite Ivanti Flaw avec RootKit et les fonctionnalit\u00e9s du shell Web"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ z\u00e9ro jour<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Resurre-les-logiciels-malveillants-exploite-Ivanti-Flaw-avec-RootKit-et.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>L&#8217;Agence am\u00e9ricaine de s\u00e9curit\u00e9 de cybers\u00e9curit\u00e9 et d&#8217;infrastructure (CISA) a mis en lumi\u00e8re un nouveau malware appel\u00e9 <strong>Refaire<\/strong> Cela a \u00e9t\u00e9 d\u00e9ploy\u00e9 dans le cadre de l&#8217;activit\u00e9 d&#8217;exploitation ciblant une faille de s\u00e9curit\u00e9 maintenant paralys\u00e9e dans les appareils Ivanti Connect Secure (ICS).<\/p>\n<p>&#8220;Resurge contient des capacit\u00e9s de la variante de logiciels malveillants SpawnChimera, y compris les red\u00e9marrages survivants; <a rel=\"noopener nofollow\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/03\/28\/cisa-releases-malware-analysis-report-resurge-malware-associated-ivanti-connect-secure\" target=\"_blank\">dit<\/a>. &#8220;Le fichier contient des capacit\u00e9s d&#8217;un rootkit, d&#8217;un compte-gouttes, d&#8217;une porte d\u00e9rob\u00e9e, d&#8217;un bootkit, d&#8217;un proxy et d&#8217;un tunneler.&#8221;<\/p>\n<p>La vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 associ\u00e9e au d\u00e9ploiement des logiciels malveillants est CVE-2025-0282, une vuln\u00e9rabilit\u00e9 de d\u00e9bordement de tampon bas\u00e9e sur la pile affectant Ivanti Connect Secure, Policy Secure et ZTA qui pourraient entra\u00eener l&#8217;ex\u00e9cution du code distant.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela a un impact sur les versions suivantes &#8211;<\/p>\n<ul>\n<li>Ivanti Connect Secure avant la version 22.7R2.5<\/li>\n<li>Politique Ivanti S\u00e9curis\u00e9e avant la version 22.7R1.2, et <\/li>\n<li>Neurones Ivanti pour les passerelles ZTA avant la version 22.7R2.3<\/li>\n<\/ul>\n<p>Selon Mandiant appartenant \u00e0 Google, le CVE-2025-0282 a \u00e9t\u00e9 arm\u00e9 pour livrer ce qu&#8217;on appelle l&#8217;\u00e9cosyst\u00e8me de spawn du malware, comprenant plusieurs composants tels que Spawnant, Spawnmole et Spawnsnail. L&#8217;utilisation de Spawn a \u00e9t\u00e9 attribu\u00e9e \u00e0 un groupe d&#8217;espionnage China-Nexus surnomm\u00e9 UNC5337.<\/p>\n<p>Le mois dernier, JPCERT \/ CC a r\u00e9v\u00e9l\u00e9 qu&#8217;il observait le d\u00e9faut de s\u00e9curit\u00e9 utilis\u00e9 pour fournir une version mise \u00e0 jour de Spawn connu sous le nom de Spawnchimera, qui combine tous les modules disparates susmentionn\u00e9s en un malware monolithique, tout en incorporant \u00e9galement des modifications pour faciliter la communication inter-processus via des d\u00e9signations de domaine UNIX.<\/p>\n<p>Plus particuli\u00e8rement, la variante r\u00e9vis\u00e9e abritait une fonctionnalit\u00e9 pour corriger CVE-2025-0282 afin d&#8217;emp\u00eacher d&#8217;autres acteurs malveillants de l&#8217;exploiter pour leurs campagnes.<\/p>\n<p>Resurge (&#8220;libdsupgrade.so&#8221;), par CISA, est une am\u00e9lioration par rapport \u00e0 SpawnChimera avec le support de trois nouvelles commandes &#8211;<\/p>\n<ul>\n<li>Ins\u00e9rer dans &#8220;ld.so.preload&#8221;, configurer un shell Web, manipuler les v\u00e9rifications d&#8217;int\u00e9grit\u00e9 et modifier les fichiers<\/li>\n<li>Activez l&#8217;utilisation de coquilles Web pour la r\u00e9colte des informations d&#8217;identification, la cr\u00e9ation de compte, les r\u00e9initialit\u00e9s du mot de passe et l&#8217;escalade des privil\u00e8ges <\/li>\n<li>Copiez le shell Web sur le disque de d\u00e9marrage en cours d&#8217;ex\u00e9cution d&#8217;Ivanti et manipulez l&#8217;image Coreboot en cours d&#8217;ex\u00e9cution<\/li>\n<\/ul>\n<p>CISA a d\u00e9clar\u00e9 qu&#8217;il avait \u00e9galement d\u00e9nich\u00e9 deux autres artefacts d&#8217;un dispositif ICS d&#8217;une entit\u00e9 d&#8217;infrastructure critique non sp\u00e9cifi\u00e9e: une variante de SpawnSloth (&#8220;liblogblock.so&#8221;) contenu dans Renurge et un Binaire Linux 64 bits sur mesure (&#8220;DSMAIN&#8221;).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le [SPAWNSLOTH variant] Tamponne les journaux de l&#8217;appareil Ivanti, &#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/www.cisa.gov\/news-events\/analysis-reports\/ar25-087a\" target=\"_blank\">dit<\/a>. &#8220;Le troisi\u00e8me fichier est un binaire incorpor\u00e9 personnalis\u00e9 qui contient un script de shell open-source et un sous-ensemble d&#8217;applications \u00e0 partir de l&#8217;outil Open-source Busybox. Le script de shell open source permet la possibilit\u00e9 d&#8217;extraire une image de noyau non compress\u00e9e (VMLinux) \u00e0 partir d&#8217;une image de noyau compromise.&#8221;<\/p>\n<p>Il convient de noter que le CVE-2025-0282 a \u00e9galement \u00e9t\u00e9 exploit\u00e9 comme un jour z\u00e9ro par un autre groupe de menaces li\u00e9 \u00e0 la Chine suivi comme le typhon de soie (anciennement hafnium), a r\u00e9v\u00e9l\u00e9 Microsoft plus t\u00f4t ce mois-ci.<\/p>\n<p>Les derni\u00e8res d\u00e9couvertes indiquent que les acteurs de la menace derri\u00e8re les logiciels malveillants affinent activement et retravaillent leur m\u00e9tier, ce qui rend imp\u00e9ratif que les organisations corrigent leurs instances Ivanti \u00e0 la derni\u00e8re version.<\/p>\n<p>En tant qu&#8217;att\u00e9nuation suppl\u00e9mentaire, il est conseill\u00e9 de r\u00e9initialiser les informations d&#8217;identification des comptes privil\u00e9gi\u00e9s et non privil\u00e9gi\u00e9s, de faire tourner les mots de passe pour tous les utilisateurs du domaine et tous les comptes locaux, examiner les politiques d&#8217;acc\u00e8s pour r\u00e9voquer temporairement les privil\u00e8ges pour les appareils affect\u00e9s, r\u00e9initialiser les informations d&#8217;identification ou les cl\u00e9s d&#8217;acc\u00e8s pertinentes et surveiller les comptes pour les signes d&#8217;activit\u00e9 anomale.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/resurge-malware-exploits-ivanti-flaw.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 mars 2025\ue804Ravie LakshmananVuln\u00e9rabilit\u00e9 \/ z\u00e9ro jour L&#8217;Agence am\u00e9ricaine de s\u00e9curit\u00e9 de cybers\u00e9curit\u00e9 et d&#8217;infrastructure (CISA) a mis en lumi\u00e8re un nouveau malware appel\u00e9 Refaire Cela a \u00e9t\u00e9 d\u00e9ploy\u00e9 dans le cadre de l&#8217;activit\u00e9 d&#8217;exploitation ciblant une faille de s\u00e9curit\u00e9 maintenant paralys\u00e9e dans les appareils Ivanti Connect Secure (ICS). &#8220;Resurge contient des capacit\u00e9s de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1602215,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,84,4168,79002,274264,4161,274263,6124,7727,53445,11548,175748,65,4589,4590,274267,4160,291197,30795,238617,246491,4172,11605,79016,4166,4164,2784],"class_list":["post-1602214","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-avec","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-exploite","tag-flaw","tag-fonctionnalites","tag-ivanti","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-resurre","tag-rootkit","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-shell","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-web"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1602214","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1602214"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1602214\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1602215"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1602214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1602214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1602214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}