Niedawno ujawniono podatność CVE-2025-0282, która umożliwia zdalne wykonanie kodu (RCE) na urządzeniach Ivanti Connect Secure (ICS) bez uwierzytelnienia. Luka jest obecnie wykorzystywana w atakach przez zaawansowane grupy hackerskie, w tym UNC5337, do uzyskania dostępu do sieci i wdrożenia złośliwego oprogramowania.
Kluczowe szczegóły
Typ podatności – Przepełnienie bufora umożliwiające RCE
Dotknięte wersje:
- Ivanti Connect Secure: wcześniejsze niż 22.7R2.5
- Policy Secure: wcześniejsze niż 22.7R1.2
- Neurons for ZTA: wcześniejsze niż 22.7R2.3
Najważniejsze zagrożenia
Zdalne wykonanie kodu (RCE) – luka umożliwia pełną kontrolę nad urządzeniem bez uwierzytelnienia.
Kradzież danych uwierzytelniających – malware DRYHOOK przechwytuje dane logowania użytkowników i administratorów.
Manipulacje systemowe – atakujący usuwają logi i zmieniają krytyczne pliki, aby ukryć ślady swoich działań.
Stałe utrzymanie w systemie – SPAWNANT i PHASEJAM przeżywają aktualizacje i umożliwiają instalację dodatkowego malware.
Eksfiltracja danych – baza danych cache urządzenia zawiera sesje VPN, klucze API i hasła, które mogą zostać wykradzione.
Indicators of Compromise (IOC)
Nietypowe żądania HTTP/HTTPS w celu określenia wersji przed próbą exploitacji: “/dana-cached/hc/hc_launcher.<version>.jar”
Obecność malware:
- PHASEJAM – “/tmp/s, /home/webserver/htdocs/dana-na/jam/getComponent.cgi”
- SPAWNSNAIL – “/root/home/lib/libsshd.so”
- SPAWNMOLE – “/root/home/lib/libsocks5.so”
Zmiany systemowe:
- Wyłączenie SELinux: „setenforce 0”
- Blokada syslog: “iptables -A OUTPUT -p tcp –dport 514 -j DROP”
- Usunięcie logów z “/var/log/debuglog” i “/data/var/statedumps/*”
Proces exploitacji
1. Wyłączenie SELinux – Dezaktywacja mechanizmu ochrony.
2. Zablokowanie przekazywania logów syslog.
3. Ponowne zamontowanie dysku w trybie do zapisu – Uzyskanie możliwości wprowadzenia zmian w systemie plików.
4. Umieszczenie złośliwego skryptu w docelowym systemie.
5. Uruchomienie skryptu, który wykonuje kolejne operacje.
6. Wdrożenie jednego lub więcej web shelli – Instalacja backdoorów pozwalających na dalszy dostęp.
7. Usunięcie wpisów logów – Użycie sed do usunięcia dowodów aktywności z logów debugowania i aplikacji.
8. Ponowne włączenie SELinux – Przywrócenie ochrony, aby ukryć działania.
9. Ponowne zamontowanie dysku – Przywrócenie pierwotnej konfiguracji systemu plików.
Zalecane działania
-Natychmiastowa aktualizacja systemów do najnowszej dostępnej wersji.
-Analiza logów i monitorowanie ruchu sieciowego pod kątem podejrzanych aktywności.
-Wdrożenie narzędzia Ivanti Integrity Checker Tool (ICT).
-Segmentacja sieci i ograniczenie dostępu do panelu administracyjnego.
Nie daj się zaskoczyć! Sprawdź czy Twoja organizacja nie jest podatna na CVE-2025-0282.
Najnowsze informacje znajdziesz też na naszej stronie na portalu Linkedin.