Ivanti Connect Secure (ICS) VPN 设备已成为高级威胁行为者利用新披露的零日漏洞的重点。根据 Mandiant 最近的一份报告,CVE-2025-0282(一个未经验证的基于堆栈的缓冲区溢出)的利用始于 2024 年 12 月中旬。该漏洞一旦被成功利用,将允许未经验证的远程代码执行,从而可能危及整个网络。
Ivanti 于 2025 年 1 月 8 日披露了两个漏洞 CVE-2025-0282 和 CVE-2025-0283。虽然 CVE-2025-0282 已被积极利用,但 CVE-2025-0283 是一个反映跨站点脚本 (XSS) 漏洞,如果在网络钓鱼攻击中被利用,则会带来更多风险。成功利用该漏洞可能会导致未经验证的远程代码执行,从而对受害者网络造成潜在的下游危害。
Mandiant 对受攻击设备的分析发现,这些设备部署了以前已知的和新型的恶意软件系列,包括 SPAWN 生态系统(如 SPAWNANT 安装程序、SPAWNMOLE 隧道程序和 SPAWNSNAIL SSH 后门)以及 DRYHOOK 和 PHASEJAM 等新系列。这些工具为攻击者提供了持久访问、横向移动能力和数据渗透功能。
报告详细介绍了一个复杂的入侵过程,包括入侵前侦察和入侵 ICS 设备的系统步骤:
- 攻击者利用 Host Checker Launcher 向 ICS 设备重复发送 HTTP 请求,以确定目标的版本。
- 成功利用后,他们会禁用 SELinux、阻止系统日志转发,并部署 PHASEJAM 等网络外壳进行远程访问。
PHASEJAM 是一个恶意脚本,它修改关键的 ICS 文件以阻止合法的系统升级,并安装伪装成合法系统进程的后门程序。报告指出:“PHASEJAM 在合法文件 getComponent.cgi 和 restAuth.cgi 中插入名为 AccessAllow() 的 web shell 函数。Web shell 基于 Perl,为威胁者提供远程访问和在被入侵的 ICS 服务器上执行代码的能力。”
Mandiant 以中等可信度将 CVE-2025-0282 的利用归咎于 UNC5337,这是一个疑似 UNC5221 的中国附属间谍组织。UNC5221 曾使用 SPAWNSNAIL 和 SPAWNMOLE 等高级定制恶意软件系列针对 ICS 设备进行攻击。报告强调:“UNC5337 随后利用了多个定制恶意软件系列,包括 SPAWNSNAIL 被动后门、SPAWNMOLE 隧道程序、SPAWNANT 安装程序和 SPAWNSLOTH 日志篡改实用程序。”
Ivanti 和 Mandiant 建议立即采取行动降低风险:
- 立即打补丁: Ivanti 已发布修补程序来解决这些漏洞。客户应升级到 22.7R2.5 或更高版本。
- 运行完整性检查工具 (ICT): Ivanti 建议将 ICT 与其他安全监控工具一起使用,以检测潜在的漏洞。
- 执行出厂重置: 对于受损的设备,Ivanti 建议在重新部署之前进行完全的出厂重置。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容