Ivanti Flaw CVE-2025-0282 Actief uitgebuit, impacts verbinden veilig en beleid veilig

Ivanti waarschuwt dat een kritieke beveiligingsfout die invloed heeft op Ivanti Connect Secure, Policy Secure en ZTA Gateways vanaf medio december 2024 actief wordt uitgebuit.

Het beveiligingsprobleem in kwestie is CVE-2025-0282 (CVSS-score: 9.0), een stack-gebaseerde bufferoverflow die invloed heeft op Ivanti Connect Secure vóór versie 22.7R2.5, Ivanti Policy Secure vóór versie 22.7R1.2 en Ivanti Neurons voor ZTA-gateways vóór versie 22.7R2.3.

“Succesvolle exploitatie van CVE-2025-0282 zou kunnen leiden tot niet-geverifieerde uitvoering van externe code”, zei Ivanti in een advies. “De activiteit van bedreigingsactoren werd geïdentificeerd door de Integrity Checker Tool (ICT) op dezelfde dag dat deze zich voordeed, waardoor Ivanti snel kon reageren en snel een oplossing kon ontwikkelen.”

Het bedrijf heeft ook een andere ernstige fout gepatcht (CVE-2025-0283, CVSS-score: 7.0) waardoor een lokaal geverifieerde aanvaller zijn rechten kan escaleren. De kwetsbaarheden, verholpen in versie 22.7R2.5, hebben invloed op de volgende versies:

  • CVE-2025-0282 – Ivanti Connect Secure 22.7R2 tot en met 22.7R2.4, Ivanti Policy Secure 22.7R1 tot en met 22.7R1.2 en Ivanti Neurons voor ZTA-gateways 22.7R2 tot en met 22.7R2.3
  • CVE-2025-0283 – Ivanti Connect Secure 22.7R2.4 en ouder, 9.1R18.9 en ouder, Ivanti Policy Secure 22.7R1.2 en ouder, en Ivanti Neurons voor ZTA-gateways 22.7R2.3 en ouder

Ivanti heeft erkend dat het op de hoogte is van een “beperkt aantal klanten” wier apparaten zijn uitgebuit vanwege CVE-2025-0282. Er is momenteel geen bewijs dat CVE-2025-0283 als wapen wordt gebruikt.

Mandiant, eigendom van Google, dat gedetailleerd onderzoek deed naar aanvallen waarbij gebruik werd gemaakt van CVE-2025-0282, zei dat het de inzet van het SPAWN-ecosysteem van malware op verschillende gecompromitteerde apparaten van meerdere organisaties had waargenomen. Het gebruik van SPAWN is toegeschreven aan een Chinese nexus-bedreigingsacteur genaamd UNC5337, die met gemiddelde zekerheid wordt beschouwd als onderdeel van UNC5221.

De aanvallen hebben ook geleid tot de installatie van voorheen ongedocumenteerde malwarefamilies genaamd DRYHOOK en PHASEJAM. Geen van beide stammen is in verband gebracht met een bekende dreigingsactor of -groep.

De exploitatie van CVE-2025-0282 omvat, volgens het cyberbeveiligingsbedrijf, het uitvoeren van een reeks stappen om SELinux uit te schakelen, het doorsturen van syslog te voorkomen, de schijf opnieuw te koppelen als lezen-schrijven, scripts uit te voeren om webshells te verwijderen en sed te gebruiken om specifieke loggegevens te verwijderen vanuit de debug- en applicatielogboeken, schakel SELinux opnieuw in, en koppel de drive opnieuw.

Een van de payloads die wordt uitgevoerd met behulp van het shellscript is een ander shellscript dat op zijn beurt een ELF-binair bestand uitvoert dat verantwoordelijk is voor het starten van PHASEJAM, een shellscript-dropper die is ontworpen om kwaadaardige wijzigingen aan te brengen in de componenten van het Ivanti Connect Secure-apparaat.

“De primaire functies van PHASEJAM zijn het invoegen van een webshell in de bestanden getComponent.cgi en restAuth.cgi, het blokkeren van systeemupgrades door het bestand DSUpgrade.pm te wijzigen en het overschrijven van het uitvoerbare bestand remotedebug, zodat het kan worden gebruikt om willekeurige opdrachten uit te voeren wanneer een specifieke parameter wordt doorgegeven”, aldus Mandiant-onderzoekers.

De webshell is in staat shell-opdrachten te decoderen en de resultaten van de uitvoering van de opdracht naar de aanvaller te exfiltreren, willekeurige bestanden op het geïnfecteerde apparaat te uploaden en de bestandsinhoud te lezen en te verzenden.

Er zijn aanwijzingen dat de aanval het werk is van een geavanceerde bedreigingsacteur, dankzij de methodische verwijdering van logboekvermeldingen, kernelberichten, crashsporen, fouten bij het verwerken van certificaten en de opdrachtgeschiedenis.

PHASEJAM zorgt ook voor persistentie door heimelijk legitieme updates van de Ivanti-appliance te blokkeren door een nep-voortgangsbalk voor HTML-upgrades weer te geven. Aan de andere kant kan SPAWNANT, de installatiecomponent die is gekoppeld aan het SPAWN-malwareframework, blijven bestaan ​​tijdens systeemupgrades door de uitvoeringsstroom van dspkginstall te kapen, een binair bestand dat wordt gebruikt tijdens het systeemupgradeproces.

Mandiant zei dat het verschillende openbaar beschikbare en open-source tunnelprogramma’s heeft geobserveerd, waaronder SPAWNMOLE, om de communicatie tussen het gecompromitteerde apparaat en de command-and-control (C2)-infrastructuur van de bedreigingsactor te vergemakkelijken.

Enkele van de andere uitgevoerde post-exploitatieactiviteiten worden hieronder vermeld:

  • Voer interne netwerkverkenningen uit met behulp van ingebouwde tools zoals nmap en dig
  • Gebruik het LDAP-serviceaccount om LDAP-query’s uit te voeren en zich lateraal binnen het netwerk te verplaatsen, inclusief Active Directory-servers, via SMB of RDP
  • Steel de cachedatabase van applicaties met informatie die verband houdt met VPN-sessies, sessiecookies, API-sleutels, certificaten en inloggegevens
  • Implementeer een Python-script met de naam DRYHOOK om inloggegevens te verzamelen

Mandiant waarschuwde ook dat het mogelijk is dat meerdere hackgroepen verantwoordelijk zijn voor de creatie en implementatie van SPAWN, DRYHOOK en PHASEJAM, maar merkte op dat het niet over voldoende gegevens beschikt om nauwkeurig het aantal bedreigingsactoren te schatten dat zich op de fout richt.

In het licht van actieve exploitatie heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) CVE-2025-0282 toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties worden verplicht de patches vóór 15 januari 2025 toe te passen. Het dringt er ook bij organisaties op aan om hun omgeving te scannen op tekenen van compromittering en elk incident of afwijkende activiteit te melden.

Thijs Van der Does