Ivanti Connect Secure (ICS) VPN 设备已成为高级威胁行为者利用新披露的零日漏洞的重点。根据 Mandiant 最近的一份报告,CVE-2025-0282(一个未经验证的基于堆栈的缓冲区溢出)的利用始于 2024 年 12 月中旬。该漏洞一旦被成功利用,将允许未经验证的远程代码执行,从而可能危及整个网络。
Ivanti 于 2025 年 1 月 8 日披露了两个漏洞 CVE-2025-0282 和 CVE-2025-0283。虽然 CVE-2025-0282 已被积极利用,但 CVE-2025-0283 是一个反映跨站点脚本 (XSS) 漏洞,如果在网络钓鱼攻击中被利用,则会带来更多风险。成功利用该漏洞可能会导致未经验证的远程代码执行,从而对受害者网络造成潜在的下游危害。
Mandiant 对受攻击设备的分析发现,这些设备部署了以前已知的和新型的恶意软件系列,包括 SPAWN 生态系统(如 SPAWNANT 安装程序、SPAWNMOLE 隧道程序和 SPAWNSNAIL SSH 后门)以及 DRYHOOK 和 PHASEJAM 等新系列。这些工具为攻击者提供了持久访问、横向移动能力和数据渗透功能。
报告详细介绍了一个复杂的入侵过程,包括入侵前侦察和入侵 ICS 设备的系统步骤:
- 攻击者利用 Host Checker Launcher 向 ICS 设备重复发送 HTTP 请求,以确定目标的版本。
- 成功利用后,他们会禁用 SELinux、阻止系统日志转发,并部署 PHASEJAM 等网络外壳进行远程访问。
PHASEJAM 是一个恶意脚本,它修改关键的 ICS 文件以阻止合法的系统升级,并安装伪装成合法系统进程的后门程序。报告指出:“PHASEJAM 在合法文件 getComponent.cgi 和 restAuth.cgi 中插入名为 AccessAllow() 的 web shell 函数。Web shell 基于 Perl,为威胁者提供远程访问和在被入侵的 ICS 服务器上执行代码的能力。”
Mandiant 以中等可信度将 CVE-2025-0282 的利用归咎于 UNC5337,这是一个疑似 UNC5221 的中国附属间谍组织。UNC5221 曾使用 SPAWNSNAIL 和 SPAWNMOLE 等高级定制恶意软件系列针对 ICS 设备进行攻击。报告强调:“UNC5337 随后利用了多个定制恶意软件系列,包括 SPAWNSNAIL 被动后门、SPAWNMOLE 隧道程序、SPAWNANT 安装程序和 SPAWNSLOTH 日志篡改实用程序。”
Ivanti 和 Mandiant 建议立即采取行动降低风险:
- 立即打补丁: Ivanti 已发布修补程序来解决这些漏洞。客户应升级到 22.7R2.5 或更高版本。
- 运行完整性检查工具 (ICT): Ivanti 建议将 ICT 与其他安全监控工具一起使用,以检测潜在的漏洞。
- 执行出厂重置: 对于受损的设备,Ivanti 建议在重新部署之前进行完全的出厂重置。
发表评论
您还未登录,请先登录。
登录