Il 9 gennaio 2025, Ivanti ha rilasciato un avviso di sicurezza riguardante due vulnerabilità critiche che colpiscono i prodotti Ivanti Connect Secure, Policy Secure e Neurons per i gateway di accesso zero-trust (ZTA). Una di queste vulnerabilità, identificata come CVE-2025-0282, è stata sfruttata in modo attivo e rappresenta un rischio significativo per la sicurezza dei sistemi. In questo articolo, esploreremo i dettagli della vulnerabilità, gli effetti dell’exploitation attiva e forniremo suggerimenti e consigli per mitigare i rischi.
Dettagli della Vulnerabilità
La vulnerabilità CVE-2025-0282 è una buffer overflow basata su stack che colpisce i seguenti prodotti Ivanti:
- Ivanti Connect Secure: versioni 22.7R2 attraverso 22.7R2.4.
- Ivanti Policy Secure: versioni 22.7R1 attraverso 22.7R1.2.
- Ivanti Neurons per ZTA gateways: versioni 22.7R2 attraverso 22.7R2.3[1][3].
La vulnerabilità ha un punteggio CVSS di 9.0, classificandola come critica. Un attaccante non autenticato può sfruttare questa vulnerabilità per ottenere l’esecuzione di codice remoto su un dispositivo vulnerabile[1][3].
Exploitation Attiva
Ivanti ha confermato che la vulnerabilità CVE-2025-0282 è stata sfruttata in modo attivo in un numero limitato di clienti. L’exploitation attiva è stata identificata dall’Integrity Checker Tool (ICT) di Ivanti, che ha permesso una risposta rapida e la creazione di un fix[1][3].
Malware Sfruttato
Durante l’analisi delle attività di sfruttamento, Mandiant ha osservato la distribuzione del malware SPAWN, attribuito a UNC5337, un gruppo di attività moderatamente fidato appartenente a UNC5221[1]. Il malware SPAWN ha installato due famiglie di malware precedentemente non documentate: DRYHOOK e PHASEJAM. Entrambe le famiglie non sono state associate a un gruppo di minaccia noto[1].
Fasi dell’Attacco
L’attacco sfrutta una serie di passaggi per disabilitare SELinux, impedire la forwarding dei log syslog, rimontare il disco come lettura/scrittura, eseguire script per depositare shell web, utilizzare sed per rimuovere specifiche voci dai log di debug e applicazione, riabilitare SELinux e rimontare il disco. Uno dei payload eseguiti tramite lo script shell è un altro script shell che, a sua volta, esegue un ELF binario responsabile per lanciare PHASEJAM, un dropper di shell progettato per fare modifiche maliziose ai componenti dell’apparecchio Ivanti Connect Secure[1].
Funzioni Primarie di PHASEJAM
Le funzioni principali di PHASEJAM includono:
- Inserimento di un shell web nei file getComponent.cgi e restAuth.cgi.
- Blocco degli aggiornamenti del sistema modificando il file DSUpgrade.pm.
- Overwrite dell’eseguibile remotedebug per eseguire comandi arbitrari quando viene passato un parametro specifico[1].
Rischi e Consigli
La vulnerabilità CVE-2025-0282 rappresenta un rischio significativo per la sicurezza dei sistemi. Ecco alcuni consigli per mitigare i rischi:
1. Applicare le Patch
Ivanti ha rilasciato patch per le versioni vulnerabili. È fondamentale applicare le patch per versioni 22.7R2.5 per Ivanti Connect Secure, Policy Secure e Neurons per ZTA gateways[1][3].
2. Utilizzare l’Integrity Checker Tool (ICT)
L’ICT di Ivanti può aiutare a identificare l’exploitation della vulnerabilità. È importante utilizzare l’ICT per monitorare l’integrità e la sicurezza del network[1][3].
3. Monitorare e Audire i Privilegi
È necessario monitorare e audire i privilegi degli account per prevenire l’escalation di privilegi da parte di attaccanti localmente autenticati[1][3].
4. Factory Reset e Patching
Se la minaccia è stata identificata, è consigliabile factory reset del dispositivo e applicare la patch. Inoltre, è importante monitorare le autorizzazioni di autenticazione e gestione delle identità[2].
5. Isolare i Sistemi
Se la minaccia è stata confermata, è necessario isolare i sistemi dagli altri risorse dell’azienda per prevenire ulteriori danni. Inoltre, è importante revocare e riassegnare le chiavi, i certificati e le password esposte[2].
6. Continuare a Monitorare
Dopo aver risolto la minaccia, è importante continuare a monitorare le attività del sistema per assicurarsi che non ci siano altre vulnerabilità sfruttate.
La vulnerabilità CVE-2025-0282 rappresenta un rischio significativo per la sicurezza dei sistemi Ivanti Connect Secure, Policy Secure e Neurons per ZTA gateways. È fondamentale applicare le patch, utilizzare l’ICT, monitorare e audire i privilegi, factory reset e patching, isolare i sistemi e continuare a monitorare. Seguendo questi consigli, è possibile mitigare i rischi associati a questa vulnerabilità zero-day.
