Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Vulnerabilità Ivanti Sfruttata: Allerta Cyber in Crescita Globale contro Attacchi Cinesi!
Ivanti ha recentemente rivelato una vulnerabilità critica di sicurezza, identificata come CVE-2025-0282, che coinvolge i prodotti Ivanti Connect Secure, Policy Secure e le soluzioni ZTA Gateways. Questa falla di sicurezza, sfruttata attivamente a partire da metà dicembre 2024, è stata scoperta grazie allo strumento Integrity Checker Tool (ICT), consentendo a Ivanti di reagire rapidamente e sviluppare una soluzione efficace.
La vulnerabilità CVE-2025-0282 è una buffer overflow basata su stack, con un punteggio CVSS di 9.0, e interessa versioni specifiche dei prodotti Ivanti, precedenti alle versioni 22.7R2.5 per Connect Secure, 22.7R1.2 per Policy Secure e 22.7R2.3 per le gateways ZTA.
Questa vulnerabilità, se sfruttata con successo, potrebbe permettere l'esecuzione di codice remoto non autenticato. Ivanti ha anche corretto un'altra vulnerabilità di alta gravità (CVE-2025-0283) che consente a un attaccante autenticato localmente di elevare i propri privilegi. Le versioni interessate da queste vulnerabilità sono: Ivanti Connect Secure dalla versione 22.7R2 alla 22.7R2.4, Ivanti Policy Secure dalla 22.7R1 alla 22.7R1.2 e Ivanti Neurons per ZTA gateways dalla versione 22.7R2 alla 22.7R2.3.
Mandiant e l'ecosistema di malware SPAWN
Mandiant, un'azienda di sicurezza informatica di proprietà di Google, ha documentato l'uso dell'ecosistema di malware SPAWN in attacchi che sfruttano la CVE-2025-0282. L'uso di SPAWN è stato attribuito a un attore minaccioso collegato alla Cina, noto come UNC5337. Gli attacchi hanno comportato anche l'installazione di malware inediti denominati DRYHOOK e PHASEJAM. Il malware PHASEJAM, in particolare, è progettato per apportare modifiche malevole ai componenti delle soluzioni Ivanti Connect Secure.
Il web shell installato dai malintenzionati è in grado di decodificare i comandi della shell ed esfiltrare i risultati al sistema di comando e controllo dell'attaccante. Inoltre, PHASEJAM stabilisce una persistenza bloccando di nascosto gli aggiornamenti legittimi della soluzione Ivanti. Le azioni post-sfruttamento includono la riconfigurazione della rete interna, l'uso di utility di tunneling open-source, e l'accesso a database di cache applicativi contenenti informazioni sensibili.
Risposta della CISA
In risposta a questi exploit attivi, la CISA degli Stati Uniti ha incluso la CVE-2025-0282 nel catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), esigendo che le agenzie federali applichino le patch entro il 15 gennaio 2025. CISA esorta anche le organizzazioni a eseguire scansioni ambientali per rilevare segni di compromissione e a segnalare eventuali attività anomale.