Ivanti 公開披露了影響 Connect Secure (ICS) VPN 設(shè)備的兩個(gè)關(guān)鍵漏洞： CVE-2025-0282 和 CVE-2025-0283。

網(wǎng)絡(luò)安全公司 Mandiant 的報(bào)告稱，CVE-2025-0282 零日漏洞利用活動(dòng)開始于 2024 年 12 月中旬。這一漏洞的利用引發(fā)了人們對(duì)潛在網(wǎng)絡(luò)漏洞以及受影響組織后續(xù)損害的擔(dān)憂。

比較而言，CVE-2025-0282 是兩個(gè)漏洞中更為嚴(yán)重的一個(gè)，被描述為未經(jīng)身份驗(yàn)證的基于棧的緩沖區(qū)溢出漏洞。

利用該漏洞，攻擊者無需身份驗(yàn)證即可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，從而為他們?cè)谑芨腥镜木W(wǎng)絡(luò)中部署惡意軟件或進(jìn)行進(jìn)一步攻擊提供立足點(diǎn)。

CVE-2025-0283 的信息尚未完全披露，但同樣被認(rèn)為是關(guān)鍵漏洞。

Mandiant 的持續(xù)調(diào)查表明，CVE-2025-0282 正在被利用于針對(duì)多個(gè)組織的定向攻擊活動(dòng)中。

攻擊者在發(fā)起攻擊前展示了探測(cè) ICS 設(shè)備版本的高超技術(shù)，特別是針對(duì)特定軟件版本中的漏洞進(jìn)行攻擊。

Mandiant 觀察到威脅行為者利用了一系列惡意軟件家族，包括已知的 SPAWN 生態(tài)系統(tǒng)（SPAWNANT 安裝程序、 SPAWNMOLE 隧道工具和 SPAWNSNAIL SSH 后門）。

在受感染的設(shè)備中還識(shí)別出了兩個(gè)新的惡意軟件家族：DRYHOOK 和 PHASEJAM。

攻擊技術(shù)和持久化方法

攻擊者在利用 CVE-2025-0282 時(shí)典型的攻擊步驟包括禁用 SELinux 等安全功能、寫入惡意腳本、部署 Web Shell 以及篡改系統(tǒng)日志以隱藏入侵痕跡。

特別令人擔(dān)憂的是，攻擊者植入了在系統(tǒng)升級(jí)后仍然能夠存活的持久化惡意軟件組件，確保即使系統(tǒng)被修補(bǔ)，攻擊者仍能保持訪問權(quán)限。

分析還揭示了攻擊者在 ICS 軟件組件中部署了 Web Shell，以實(shí)現(xiàn)遠(yuǎn)程訪問和代碼執(zhí)行。

例如，PHASEJAM 惡意軟件會(huì)劫持系統(tǒng)升級(jí)過程，利用基于 HTML 的虛假升級(jí)進(jìn)度條，從視覺上讓管理員誤以為升級(jí)正在進(jìn)行。實(shí)際上，惡意行為者會(huì)悄悄阻止合法升級(jí)，確保系統(tǒng)仍然受到入侵威脅，同時(shí)保持攻擊不被發(fā)現(xiàn)。

另一種惡意軟件 SPAWNANT 則通過將自身嵌入系統(tǒng)文件來確保升級(jí)過程中的持久性。

在漏洞利用后，還觀察到威脅行為者從設(shè)備的多個(gè)關(guān)鍵區(qū)域刪除了入侵證據(jù)：

• 使用 dmesg 清除內(nèi)核消息，并從調(diào)試日志中刪除漏洞利用期間生成的條目
• 刪除故障排除信息包（狀態(tài)轉(zhuǎn)儲(chǔ)）以及進(jìn)程崩潰生成的任何核心轉(zhuǎn)儲(chǔ)
• 刪除與系統(tǒng)日志故障、內(nèi)部 ICT 故障、崩潰痕跡和證書處理錯(cuò)誤相關(guān)的應(yīng)用程序事件日志條目
• 從 SELinux 審計(jì)日志中刪除已執(zhí)行的命令

幕后黑手是誰(shuí)？

Ivanti 和 Mandiant 認(rèn)為此次攻擊活動(dòng)帶有間諜活動(dòng)的痕跡。

受感染的 ICS 設(shè)備數(shù)據(jù)庫(kù)緩存已多次被泄露，這引發(fā)了人們對(duì)暴露的 VPN 會(huì)話數(shù)據(jù)、 API 密鑰、憑證和證書的擔(dān)憂。

網(wǎng)絡(luò)安全專家警告稱，如果這些漏洞的概念驗(yàn)證利用代碼被公開，可能會(huì)吸引更多威脅行為者參與，從而導(dǎo)致攻擊的范圍擴(kuò)大。

Ivanti 對(duì)零日漏洞的響應(yīng)

Ivanti 正在處理零日漏洞 CVE-2025-0282 和 CVE-2025-0283，這兩個(gè)漏洞影響了 Ivanti Connect Secure 、Policy Secure 以及 Neurons for ZTA 網(wǎng)關(guān)。

修復(fù)程序可以通過下載門戶獲取。

參考來源：https://cybersecuritynews.com/active-exploitation-of-ivanti-vpn-0-day-vulnerability-cve-2025-0282/