Ivanti 公開披露了影響 Connect Secure (ICS) VPN 設備的兩個關鍵漏洞： CVE-2025-0282 和 CVE-2025-0283。

網(wǎng)絡安全公司 Mandiant 的報告稱，CVE-2025-0282 零日漏洞利用活動開始于 2024 年 12 月中旬。這一漏洞的利用引發(fā)了人們對潛在網(wǎng)絡漏洞以及受影響組織后續(xù)損害的擔憂。

比較而言，CVE-2025-0282 是兩個漏洞中更為嚴重的一個，被描述為未經(jīng)身份驗證的基于棧的緩沖區(qū)溢出漏洞。

利用該漏洞，攻擊者無需身份驗證即可實現(xiàn)遠程代碼執(zhí)行，從而為他們在受感染的網(wǎng)絡中部署惡意軟件或進行進一步攻擊提供立足點。

CVE-2025-0283 的信息尚未完全披露，但同樣被認為是關鍵漏洞。

Mandiant 的持續(xù)調(diào)查表明，CVE-2025-0282 正在被利用于針對多個組織的定向攻擊活動中。

攻擊者在發(fā)起攻擊前展示了探測 ICS 設備版本的高超技術，特別是針對特定軟件版本中的漏洞進行攻擊。

Mandiant 觀察到威脅行為者利用了一系列惡意軟件家族，包括已知的 SPAWN 生態(tài)系統(tǒng)（SPAWNANT 安裝程序、 SPAWNMOLE 隧道工具和 SPAWNSNAIL SSH 后門）。

在受感染的設備中還識別出了兩個新的惡意軟件家族：DRYHOOK 和 PHASEJAM。

攻擊技術和持久化方法

攻擊者在利用 CVE-2025-0282 時典型的攻擊步驟包括禁用 SELinux 等安全功能、寫入惡意腳本、部署 Web Shell 以及篡改系統(tǒng)日志以隱藏入侵痕跡。

特別令人擔憂的是，攻擊者植入了在系統(tǒng)升級后仍然能夠存活的持久化惡意軟件組件，確保即使系統(tǒng)被修補，攻擊者仍能保持訪問權限。

分析還揭示了攻擊者在 ICS 軟件組件中部署了 Web Shell，以實現(xiàn)遠程訪問和代碼執(zhí)行。

例如，PHASEJAM 惡意軟件會劫持系統(tǒng)升級過程，利用基于 HTML 的虛假升級進度條，從視覺上讓管理員誤以為升級正在進行。實際上，惡意行為者會悄悄阻止合法升級，確保系統(tǒng)仍然受到入侵威脅，同時保持攻擊不被發(fā)現(xiàn)。

另一種惡意軟件 SPAWNANT 則通過將自身嵌入系統(tǒng)文件來確保升級過程中的持久性。

在漏洞利用后，還觀察到威脅行為者從設備的多個關鍵區(qū)域刪除了入侵證據(jù)：

• 使用 dmesg 清除內(nèi)核消息，并從調(diào)試日志中刪除漏洞利用期間生成的條目
• 刪除故障排除信息包（狀態(tài)轉(zhuǎn)儲）以及進程崩潰生成的任何核心轉(zhuǎn)儲
• 刪除與系統(tǒng)日志故障、內(nèi)部 ICT 故障、崩潰痕跡和證書處理錯誤相關的應用程序事件日志條目
• 從 SELinux 審計日志中刪除已執(zhí)行的命令

幕后黑手是誰？

Ivanti 和 Mandiant 認為此次攻擊活動帶有間諜活動的痕跡。

受感染的 ICS 設備數(shù)據(jù)庫緩存已多次被泄露，這引發(fā)了人們對暴露的 VPN 會話數(shù)據(jù)、 API 密鑰、憑證和證書的擔憂。

網(wǎng)絡安全專家警告稱，如果這些漏洞的概念驗證利用代碼被公開，可能會吸引更多威脅行為者參與，從而導致攻擊的范圍擴大。

Ivanti 對零日漏洞的響應

Ivanti 正在處理零日漏洞 CVE-2025-0282 和 CVE-2025-0283，這兩個漏洞影響了 Ivanti Connect Secure 、Policy Secure 以及 Neurons for ZTA 網(wǎng)關。

修復程序可以通過下載門戶獲取。

參考來源：https://cybersecuritynews.com/active-exploitation-of-ivanti-vpn-0-day-vulnerability-cve-2025-0282/