Ivanti je objavio detalje o sada zakrpljenoj kritičnoj sigurnosnoj ranjivosti u svom proizvodu Connect Secure, koja je bila aktivno iskorištavana u divljini.
Ranjivost, označena kao CVE-2025-22457 (CVSS ocjena: 9.0), odnosi se na prelijevanje međuspremnika na stogu (stack-based buffer overflow), koje se može iskoristiti za izvršavanje proizvoljnog koda na pogođenim sistemima.
“Prelijevanje međuspremnika na stogu u Ivanti Connect Secure prije verzije 22.7R2.6, Ivanti Policy Secure prije verzije 22.7R1.4 i Ivanti ZTA Gateways prije verzije 22.8R2.2 omogućava udaljenom, neautentifikovanom napadaču izvršenje proizvoljnog koda,” navodi Ivanti u upozorenju objavljenom u četvrtak.
Pogođeni proizvodi i verzije
Ranjivost utiče na sljedeće proizvode:
- Ivanti Connect Secure (verzije 22.7R2.5 i starije) – Zakrpa dostupna u verziji 22.7R2.6 (objavljena 11. februara 2025.)
- Pulse Connect Secure (verzije 9.1R18.9 i starije) – Zakrpa u verziji 22.7R2.6 (uređaji su dostigli kraj podrške 31. decembra 2024., pa je potrebna migracija)
- Ivanti Policy Secure (verzije 22.7R1.3 i starije) – Zakrpa dostupna u verziji 22.7R1.4 (biće objavljena 21. aprila 2025.)
- ZTA Gateways (verzije 22.8R2 i starije) – Zakrpa dostupna u verziji 22.8R2.2 (biće objavljena 19. aprila 2025.)
Kompanija je potvrdila da je svjesna “ograničenog broja kupaca” čiji su Connect Secure i Pulse Connect Secure uređaji bili kompromitovani. Međutim, nema dokaza da su Policy Secure ili ZTA Gateways bili zloupotrijebljeni.
“Kupci bi trebali pratiti svoje vanjske ICT sisteme i obratiti pažnju na rušenja web servera,” napominje Ivanti. “Ako rezultati analize pokažu znakove kompromitacije, trebali biste izvršiti fabričko resetovanje uređaja, a zatim ga ponovo pustiti u rad koristeći verziju 22.7R2.6.”
Vrijedi napomenuti da verzija 22.7R2.6 takođe ispravlja nekoliko drugih kritičnih ranjivosti (CVE-2024-38657, CVE-2025-22467 i CVE-2024-10644) koje su mogle omogućiti udaljenom autentifikovanom napadaču da piše proizvoljne datoteke i izvršava proizvoljni kod.
Eksploatacija CVE-2025-22457 za distribuciju malvera
Google-ova firma Mandiant je u vlastitom izvještaju otkrila da je eksploatacija CVE-2025-22457 primijećena sredinom marta 2025.. Napadači su koristili ovu ranjivost za isporuku:
- TRAILBLAZE – in-memory dropper (malver koji učitava druge maliciozne datoteke bez zapisa na disk)
- BRUSHFIRE – pasivni backdoor
- SPAWN malware suite
Napadački lanac uključuje višestepeni shell skript dropper koji izvršava TRAILBLAZE, a zatim ubrizgava BRUSHFIRE direktno u memoriju aktivnog web procesa, kako bi izbjegao detekciju. Ova eksploatacija omogućava upornu pozadinsku pristupnu tačku, potencijalno omogućavajući krađu vjerodajnica, daljnje prodore u mrežu i eksfiltraciju podataka.
Napad pomoću SPAWN malwarea pripisan je grupi UNC5221, kineskom protivniku koji već ima istoriju iskorištavanja zero-day ranjivosti u Ivanti Connect Secure (ICS) uređajima. Ova grupa je povezana sa drugim klasterima napada, uključujući UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 i UNC3886.
Prema podacima američke vlade, UNC5221 dijeli sličnosti sa prijetnjama kao što su APT27, Silk Typhoon i UTA0178, ali Mandiant nije mogao nezavisno potvrditi ovu povezanost.
“Mandiant prati UNC5221 kao skup aktivnosti koji se opetovano fokusira na kompromitaciju edge uređaja koristeći zero-day ranjivosti,” izjavio je Dan Perez, tehnički lider Google Threat Intelligence grupe. “Povezanost s APT27, koju je predložila vlada, zvuči uvjerljivo, ali nemamo dovoljno dokaza da to potvrdimo.”
Maskiranje izvora napada i nove tehnike
UNC5221 je takođe primijećen kako koristi mrežu zaraženih uređaja (uključujući Cyberoam uređaje, QNAP NAS uređaje i ASUS rutere) kako bi prikrio pravi izvor napada.
Microsoft je ranije u martu 2025. takođe izvijestio o Silk Typhoon napadima, naglašavajući da kineske hakerske grupe koriste sofisticirane metode za prikrivanje napadačkih aktivnosti.
Kompanija Ivanti vjeruje da su napadači analizirali februarsku zakrpu, kako bi identifikovali način eksploatacije starijih verzija i omogućili udaljeno izvršavanje koda na nezaštićenim sistemima. Ovo je prvi put da je UNC5221 povezan sa N-day eksploatacijom (iskorištavanjem već poznatih ranjivosti) u Ivanti uređajima.
“Ova posljednja aktivnost UNC5221 naglašava kontinuirano ciljanje edge uređaja na globalnom nivou od strane kineskih obavještajnih grupa,” izjavio je Charles Carmakal, CTO Mandiant Consultinga.
“Ovi hakeri ćnastavit će istraživati sigurnosne ranjivosti i razvijati prilagođeni malver za enterprise sisteme koji nemaju EDR rješenja. Brzina cyber upada od strane kineskih obavještajnih hakera stalno raste, a njihova efikasnost je bolja nego ikad.”
Izvor:The Hacker News
