As redes protegidas pelas VPNs Ivanti são atacadas ativamente por hackers bem equipados que exploram uma vulnerabilidade crítica que lhes dá controle total sobre os dispositivos conectados à rede.
O fabricante de hardware Ivanti divulgou a vulnerabilidade, rastreada como CVE-2025-0283, na quarta-feira e alertou que está sendo usado ativamente contra alguns clientes. A vulnerabilidade, que está sendo explorada para permitir que hackers executem códigos maliciosos sem autenticação, existe nos gateways Connect Secure VPN e Policy Secure & ZTA da empresa. A Ivanti lançou um patch de segurança ao mesmo tempo. Isso atualizará os dispositivos Connect Secure para a versão 22.7R2.5.
Bem escrito, multifacetado
De acordo com o provedor de segurança Mandiant, de propriedade do Google, a vulnerabilidade foi explorada ativamente contra “vários dispositivos Ivanti Connect Secure comprometidos” desde dezembro, um mês antes do dia zero vir à tona. Depois de explorar a vulnerabilidade, os invasores instalam dois pacotes de malware nunca antes vistos, rastreados sob esses nomes. GANCHO SECO e FASEJAM em alguns dispositivos comprometidos.
PHASEJAM é um script bash shell bem escrito e versátil. Primeiro, ele instala um web shell que permite que hackers remotos privilegiem dispositivos. Em seguida, ele injeta uma função no mecanismo de atualização do Connect Secure projetada para simular o processo de atualização.
“Quando um administrador do ICS tenta atualizar, o recurso exibe um processo de atualização visualmente atraente, mostrando cada etapa com números variados de pontos para imitar o processo em funcionamento”, disse Mandiant. disse. A empresa continuou:
PHASEJAM injeta uma função maliciosa chamada processUpgradeDisplay() em /home/perl/DSUpgrade.pm. A funcionalidade foi projetada para simular um processo de atualização que consiste em 13 etapas, cada uma das quais leva um tempo predeterminado. Quando um administrador do ICS tenta fazer uma atualização, o recurso exibe um processo de atualização visualmente atraente, mostrando cada etapa com números variados de pontos para imitar o processo em andamento. Consulte Persistência de atualização do sistema para obter mais informações.
Os invasores também usam malware visto anteriormente, que é rastreado como Eles geram em alguns dispositivos. Um de seus recursos é desabilitar a ferramenta de verificação de integridade (ICT) que Ivanti incorporou nas versões mais recentes da VPN, projetada para verificar arquivos no dispositivo contra adições não autorizadas. SpawnAnt faz isso substituindo o hash criptográfico SHA256 esperado do arquivo do kernel por este hash após infectá-lo. Como resultado, os administradores verão a seguinte tela quando a ferramenta for executada em dispositivos comprometidos:
