Il 9 gennaio 2025, Ivanti ha rilasciato un avviso di sicurezza riguardante due vulnerabilità critiche che colpiscono i prodotti Ivanti Connect Secure, Policy Secure e Neurons per i gateway di accesso zero-trust (ZTA). Una di queste vulnerabilità, identificata come CVE-2025-0282, è stata sfruttata in modo attivo e rappresenta un rischio significativo per la sicurezza dei sistemi. In questo articolo, esploreremo i dettagli della vulnerabilità, gli effetti dell’exploitation attiva e forniremo suggerimenti e consigli per mitigare i rischi.
Dettagli della Vulnerabilità
La vulnerabilità CVE-2025-0282 è una buffer overflow basata su stack che colpisce i seguenti prodotti Ivanti:
- Ivanti Connect Secure: versioni 22.7R2 attraverso 22.7R2.4.
- Ivanti Policy Secure: versioni 22.7R1 attraverso 22.7R1.2.
- Ivanti Neurons per ZTA gateways: versioni 22.7R2 attraverso 22.7R2.3.
La vulnerabilità ha un punteggio CVSS di 9.0, classificandola come critica. Un attaccante non autenticato può sfruttare questa vulnerabilità per ottenere l’esecuzione di codice remoto su un dispositivo vulnerabile.
Exploitation Attiva
Ivanti ha confermato che la vulnerabilità CVE-2025-0282 è stata sfruttata in modo attivo in un numero limitato di clienti. L’exploitation attiva è stata identificata dall’Integrity Checker Tool (ICT) di Ivanti, che ha permesso una risposta rapida e la creazione di un fix.
Malware Sfruttato
Durante l’analisi delle attività di sfruttamento, Mandiant ha osservato la distribuzione del malware SPAWN, attribuito a UNC5337, un gruppo di attività moderatamente fidato appartenente a UNC5221. Il malware SPAWN ha installato due famiglie di malware precedentemente non documentate: DRYHOOK e PHASEJAM. Entrambe le famiglie non sono state associate a un gruppo di minaccia noto.
Fasi dell’Attacco
L’attacco sfrutta una serie di passaggi per disabilitare SELinux, impedire la forwarding dei log syslog, rimontare il disco come lettura/scrittura, eseguire script per depositare shell web, utilizzare sed per rimuovere specifiche voci dai log di debug e applicazione, riabilitare SELinux e rimontare il disco. Uno dei payload eseguiti tramite lo script shell è un altro script shell che, a sua volta, esegue un ELF binario responsabile per lanciare PHASEJAM, un dropper di shell progettato per fare modifiche maliziose ai componenti dell’apparecchio Ivanti Connect Secure.
Funzioni Primarie di PHASEJAM
Le funzioni principali di PHASEJAM includono:
- Inserimento di un shell web nei file getComponent.cgi e restAuth.cgi.
- Blocco degli aggiornamenti del sistema modificando il file DSUpgrade.pm.
- Overwrite dell’eseguibile remotedebug per eseguire comandi arbitrari quando viene passato un parametro specifico.
Rischi e Consigli
La vulnerabilità CVE-2025-0282 rappresenta un rischio significativo per la sicurezza dei sistemi. Ecco alcuni consigli per mitigare i rischi:
1. Applicare le Patch
Ivanti ha rilasciato patch per le versioni vulnerabili. È fondamentale applicare le patch per versioni 22.7R2.5 per Ivanti Connect Secure, Policy Secure e Neurons per ZTA gateways.
2. Utilizzare l’Integrity Checker Tool (ICT)
L’ICT di Ivanti può aiutare a identificare l’exploitation della vulnerabilità. È importante utilizzare l’ICT per monitorare l’integrità e la sicurezza del network.
3. Monitorare e Audire i Privilegi
È necessario monitorare e audire i privilegi degli account per prevenire l’escalation di privilegi da parte di attaccanti localmente autenticati.
4. Factory Reset e Patching
Se la minaccia è stata identificata, è consigliabile factory reset del dispositivo e applicare la patch. Inoltre, è importante monitorare le autorizzazioni di autenticazione e gestione delle identità.
5. Isolare i Sistemi
Se la minaccia è stata confermata, è necessario isolare i sistemi dagli altri risorse dell’azienda per prevenire ulteriori danni. Inoltre, è importante revocare e riassegnare le chiavi, i certificati e le password esposte.
6. Continuare a Monitorare
Dopo aver risolto la minaccia, è importante continuare a monitorare le attività del sistema per assicurarsi che non ci siano altre vulnerabilità sfruttate.
La vulnerabilità CVE-2025-0282 rappresenta un rischio significativo per la sicurezza dei sistemi Ivanti Connect Secure, Policy Secure e Neurons per ZTA gateways. È fondamentale applicare le patch, utilizzare l’ICT, monitorare e audire i privilegi, factory reset e patching, isolare i sistemi e continuare a monitorare. Seguendo questi consigli, è possibile mitigare i rischi associati a questa vulnerabilità zero-day.
