Ivanti ma wydany ostrzeżenie dotyczące luki typu zero-day, śledzonej jako CVE-2025-0282w szeroko używanych urządzeniach VPN, które zostały wykorzystane do naruszenia bezpieczeństwa sieci klientów. Lukę można wykorzystać bez uwierzytelniania, umożliwiając atakującym zdalne umieszczenie złośliwego kodu w produktach Ivanti Connect Secure, Policy Secure i ZTA Gateways.
Ivanti ostrzega przed luką dnia zerowego w urządzeniach VPN
Ujawniona w środę krytyczna luka wpływa na Ivanti Connect Secure, który jest uważany za „najpowszechniej stosowany SSL VPN przez organizacje każdej wielkości, we wszystkich głównych branżach”. Firma dowiedziała się o tej luce, gdy narzędzie sprawdzania integralności (ICT) wykryło złośliwą aktywność na urządzeniach klientów. Ivanti przyznaje, że wiedziała o „ograniczonej liczbie klientów”, których urządzenia zostały naruszone.
Chociaż dostępna jest łatka dla Connect Secure, łatki dla Policy Secure i ZTA Gateways, w przypadku których nie potwierdzono, że nadają się do wykorzystania, spodziewane są dopiero 21 stycznia. Firma Ivanti zidentyfikowała także drugą lukę w zabezpieczeniach: CVE-2025-0283który nie został jeszcze wykorzystany.
Nie ignoruj: aktualizacja cyberbezpieczeństwa firmy Adobe może zapisać Twoje dane
Mandiant, firma zajmująca się reagowaniem na incydenty, zgłoszone że zaobserwował wykorzystanie luki CVE-2025-0282 już w połowie grudnia 2024 r. Chociaż firma Mandiant nie powiązała ostatecznie tych luk z konkretnym aktorem zagrażającym, podejrzewa, że w grę wchodzi powiązana z Chinami grupa cyberszpiegowska znana jako UNC5337 I UNC5221. Grupa ta wykorzystywała już luki w zabezpieczeniach Ivanti do przeprowadzania masowych ataków hakerskich na klientów.
Według TechCrunchBen Harris, dyrektor generalny watchTowr Labs, zauważył powszechny wpływ najnowszej luki w Ivanti VPN, wskazując, że ataki wykazują cechy typowe dla zaawansowanego, trwałego zagrożenia. Brytyjskie Narodowe Centrum Cyberbezpieczeństwa również bada przypadki aktywnego wykorzystania sieci w Wielkiej Brytanii. Tymczasem amerykańska agencja ds. cyberbezpieczeństwa CISA dodała tę lukę do swojego katalogu znanych wykorzystanych luk.
Link do chińskich cyberszpiegów
Mandiant powiązał wykorzystanie CVE-2025-0282 z chińskimi cyberprzestępcami, odnotowując wykorzystanie wcześniej odkrytej rodziny szkodliwego oprogramowania o nazwie Spawn. Ten zestaw narzędzi zawiera różne złośliwe narzędzia, takie jak instalator, tuneler i backdoor SSH, wszystkie powiązane z działaniami szpiegowskimi przypisywanymi UNC5337.
Oprócz Spawn Mandiant zidentyfikował dwie nowe rodziny szkodliwego oprogramowania o nazwach DryHook i PhaseJam, które obecnie nie są powiązane z żadną znaną grupą zagrożeń. Łańcuch exploitów obejmuje osoby atakujące wysyłające żądania zidentyfikowania wersji oprogramowania urządzenia, a następnie wykorzystujące CVE-2025-0282 w celu uzyskania dostępu, wyłączenia zabezpieczeń i wdrożenia dodatkowego złośliwego oprogramowania.
Po włamaniu napastnicy używali droppera PhaseJam do tworzenia powłok internetowych na podłączonych urządzeniach. PhaseJam modyfikuje również skrypty aktualizacji, aby blokować rzeczywiste aktualizacje. Wraz z nowymi rodzinami szkodliwego oprogramowania wdrażany jest także zestaw narzędzi Spawn, który ma obowiązywać podczas aktualizacji systemu.
Wydaje się, że głównym celem osób atakujących jest kradzież poufnych informacji związanych z sesjami VPN, kluczami API i danymi uwierzytelniającymi poprzez archiwizację baz danych na zagrożonych urządzeniach i przygotowanie tych danych do eksfiltracji. DryHook został zastosowany do przechwytywania danych uwierzytelniających użytkowników podczas procesów uwierzytelniania.
Eksperci ds. bezpieczeństwa zalecają administratorom systemu przywrócenie ustawień fabrycznych i aktualizację do wersji Ivanti Connect Secure 22.7R2.5. Zalecenie to ma kluczowe znaczenie, biorąc pod uwagę, że w momencie ogłoszenia pierwotnej luki w Internecie ujawniono wcześniej ponad 3600 urządzeń ICS, chociaż od tego czasu liczba ta spadła do około 2800, co wskazuje na utrzymujące się znaczne ryzyko.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
