Ivanti Connect Secure (ICS) VPN设备中的CVE-2025-0282和CVE-2025-0283漏洞已经被确认正在被攻击者活跃利用。CVE-2025-0282是一种零日漏洞,自2024年12月起就已经被利用,允许未经认证的远程代码执行。根据Mandiant的报告,这一持续campaign涉及多种恶意软件家族,并且似乎包括了多个威胁actor,特别是中国相关群组UNC5337。Ivanti强烈建议客户升级ICS设备到最新版本以缓解这些漏洞。
什么是CVE-2025-0282和CVE-2025-0283?
CVE-2025-0282… CVE-2025-0282是一种未经认证的基于堆栈的缓冲溢出漏洞,影响Ivanti Connect Secure (ICS) VPN设备,以及Policy Secure和Neurons for ZTA Gateways。这种漏洞允许攻击者在不需要任何认证的情况下执行任意代码。攻击者通过向设备发送特制输入来进行攻击,从而使内存缓冲区无法承受,导致关键内存区域被覆盖。这可能导致系统完全控制,并允许攻击者部署恶意软件、进行侦察以及潜在地破坏下游网络。由于漏洞版本特定,攻击者需要通过侦察确定设备版本才能进行攻击。
CVE-2025-0283… CVE-2025-0283同样影响Ivanti Connect Secure设备,但截至2025年1月9日,关于其具体性质的信息较少。它可能与特权提升或输入验证不当有关,潜在允许攻击者在已被破坏的系统上扩大访问。尽管对此漏洞的详细信息较少,但它仍应作为高优先级修补,以防止在CVE-2025-0282的攻击链中被进一步利用。
Wiz研究数据:云环境中的风险
根据Wiz数据,少于1%的云企业环境对这些漏洞有风险。
在野发现的攻击类型
Mandiant自2024年12月起就观察到CVE-2025-0282在野发现。攻击者利用此漏洞进行未经认证的远程代码执行。攻击者首先通过查询特定URL来确定ICS设备版本,通常来自VPS提供商或Tor网络以掩盖身份。一旦确定版本,攻击者使用精制的负载触发堆栈缓冲溢出,从而允许远程代码执行。攻击者修改系统设置,如禁用SELinux并重新挂载文件系统,以准备设备部署恶意软件。攻击者将合法的ICS组件中注入Web shell,以确立持久性和远程访问。另外,还部署了Base64编码脚本和ELF二进制文件…… 根据Mandiant,后续攻击活动包括通过受损设备隧道流量,使用nmap和dig进行内部侦察,以及滥用LDAP服务账户进行横向移动。敏感数据,如会话cookie、凭据和API密钥通过存档和缓存设备数据库缓存进行泄露。为了避免检测,攻击者清除日志、修改系统文件,并重新计算完整性哈希以绕过Ivanti的完整性检查工具(ICT)。
虽然CVE-2025-0283具体攻击细节尚不明确,但它可能涉及特权提升或其他方法来增强CVE-2025-0282的影响。一些利用这些漏洞的campaign已被联结到UNC5337,一个中国相关群组,而其他campaign涉及未知actor使用独特的恶意软件家族,如DRYHOOK和PHASEJAM,这表明多个威胁actor正在利用这些漏洞。
攻击指标
以下是Mandiant在野发现的攻击指标:
| 代码家族 | 文件名 | 描述 |
|---|---|---|
| DRYHOOK | n/a | 凭据窃取工具 |
| PHASEJAM | /tmp/s | Web Shell dropper |
| PHASEJAM Webshell | /home/webserver/htdocs/dana-na/auth/getComponent.cgi | Web Shell |
| PHASEJAM Webshell | /home/webserver/htdocs/dana-na/auth/restAuth.cgi | Web Shell |
| SPAWNSNAIL | /root/home/lib/libsshd.so | SSH后门 |
| SPAWNMOLE | /root/home/lib/libsocks5.so | 隧道工具 |
| SPAWNANT | /root/lib/libupgrade.so | 安装器 |
| SPAWNSLOTH | /tmp/.liblogblock.so | 日志篡改工具 |
受影响产品
以下版本和产品受到这些漏洞影响:
CVE-2025-0282
Ivanti强烈建议客户升级ICS设备到最新版本,以缓解这些漏洞。