Компания Ivanti сообщила о начале активной эксплуатации критической уязвимости CVE-2025-0282 (CVSS 9.0), затрагивающей продукты Connect Secure (до версии 22.7R2.5), Policy Secure (до версии 22.7R1.2) и Neurons for ZTA Gateway (до версии 22.7R2.3). Эта уязвимость представляет собой переполнение буфера в стеке, позволяющее злоумышленникам выполнять удалённый код без авторизации.
Ivanti сообщила, что угрозу удалось выявить благодаря инструменту Integrity Checker Tool (ICT), который зафиксировал активность в день её проявления. Это позволило компании оперативно выпустить исправления. Параллельно была выявлена и устранена уязвимость CVE-2025-0283(CVSS 7.0), позволяющая локальным пользователям повышать свои привилегии. Проблемы исправлены в версии 22.7R2.5.
Компания Mandiant обнаружила,что уязвимость CVE-2025-0282 использовалась хакерами, связанными с китайской группой UNC5337. В ходе атак применялась вредоносная экосистема SPAWN, включая ранее неизвестные программы DRYHOOK и PHASEJAM.
Атаки включали отключение SELinux, изменение логов, размещение веб-шеллов и запуск ELF-бинарников, таких как PHASEJAM. Этот скрипт блокирует обновления системы и вносит изменения в файлы компонентов устройства. Используемые веб-шеллы позволяют передавать команды злоумышленникам, загружать файлы и читать данные.
Эксплуатация также включала:
- Проведение внутренней разведки сети через инструменты nmap и dig.
- Использование LDAP для запросов к Active Directory и горизонтального перемещения.
- Кражу базы данных сессий VPN, API-ключей и учётных данных.
- Сбор паролей через Python-скрипт DRYHOOK.
CISA добавилаCVE-2025-0282 в каталог известных эксплуатируемых уязвимостей и требует от федеральных агентств установить необходимые обновления безопасности до 15 января 2025 года. Организациям рекомендовано сканировать свои системы на признаки компрометации и немедленно сообщать о подозрительных инцидентах.