Η Ivanti έχει κυκλοφορήσει ενημερώσεις ασφαλείας για να επιδιορθώσει μια κρίσιμη σύνδεση ασφαλή απομακρυσμένο κώδικα εκτέλεσης ευπάθειας που εκμεταλλεύεται ένας ηθοποιός που συνδέεται με την Κίνα για την ανάπτυξη κακόβουλου λογισμικού από τουλάχιστον τα μέσα Μαρτίου 2025.
Εντοπίστηκε ως CVE-2025-22457αυτό το κρίσιμο ελάττωμα ασφαλείας οφείλεται σε αδυναμία υπερχείλισης buffer με βάση τη στοίβα. Αντιμετωπίζει το Pulse Connect Secure 9.1x (το οποίο έφτασε στο τέλος της υποστήριξης τον Δεκέμβριο), η Ivanti Connect Secure 22.7R2.5 και νωρίτερα, η πολιτική ασφαλής και οι νευρώνες για τις πύλες ZTA.
Σύμφωνα με Συμβουλευτική του Ivantiοι απομακρυσμένοι ηθοποιοί απειλών μπορούν να την εκμεταλλευτούν σε επιθέσεις υψηλής σύνθετης διανοίας που δεν απαιτούν έλεγχο ταυτότητας ή αλληλεπίδραση χρήστη. Η εταιρεία έβαλε την ευπάθεια στις 11 Φεβρουαρίου 2025, με την απελευθέρωση της Ivanti Connect Secure 22.7R2.6 μετά την αρχική επισήμανση ως σφάλμα προϊόντος.
“Η ευπάθεια είναι μια υπερχείλιση buffer με χαρακτήρες που περιορίζονται σε περιόδους και αριθμούς, αξιολογήθηκε και αποφασίστηκε να μην εκμεταλλεύεται ως απομακρυσμένη εκτέλεση κώδικα και δεν πληρούσε τις απαιτήσεις της άρνησης της υπηρεσίας”, Ivanti είπε την Πέμπτη.
“Ωστόσο, η Ivanti και οι συνεργάτες ασφαλείας μας έχουν μάθει τώρα ότι η ευπάθεια είναι εκμεταλλευόμενη με εξελιγμένα μέσα και έχει εντοπίσει στοιχεία ενεργού εκμετάλλευσης στην άγρια φύση.
Ενώ τα μπαλώματα ασφαλείας για τις ασφαλείς πύλες της ZTA και της Ivanti, οι ασφαλείς πύλες εξακολουθούν να βρίσκονται σε εξέλιξη και θα κυκλοφορήσουν στις 19 Απριλίου και στις 21 Απριλίου, αντίστοιχα, ο Ivanti δήλωσε ότι «δεν γνωρίζει καμία εκμετάλλευση» που στοχεύει αυτές τις πύλες, οι οποίες έχουν επίσης αυτό που «μειώνει με νόημα τον κίνδυνο από αυτή την ευπάθεια».
Η Ivanti ενημέρωσε επίσης τους διαχειριστές να παρακολουθούν το εργαλείο ελέγχου εξωτερικής ακεραιότητας (ΤΠΕ) και να αναζητήσουν συντριβές διακομιστή ιστού. Εάν ανακαλυφθούν τυχόν σημάδια συμβιβασμού, οι διαχειριστές θα πρέπει να επηρεάζουν τις συσκευές επαναφοράς εργοστασίων και να τα επαναφέρουν στην παραγωγή χρησιμοποιώντας το λογισμικό έκδοση 22.7R2.6.
| Όνομα προϊόντος | Επηρεαζόμενες εκδοχές (ες) | Επιλυμεντή έκδοση (ες) | Διαθεσιμότητα |
| Ivanti Connect Secure | 22.7R2.5 και πριν | 22.7R2.6 (Κυκλοφόρησε Φεβρουάριος 2025) | Λήψη πύλης |
| Pulse Connect Secure (EOS) | 9.1R18.9 και πριν | 22.7R2.6 | Επικοινωνήστε με τον Ivanti για να μεταναστεύσετε |
| Ασφαλής πολιτική Ivanti | 22.7R1.3 και πριν | 22.7R1.4 | 21 Απριλίου |
| Πύλες ZTA | 22.8R2 και πριν | 22.8R2.2 | 19 Απριλίου |
Επιθέσεις που συνδέονται με unc5221 κινέζικα-nexus cyberspies
Ενώ η Ivanti δεν έχει ακόμη αποκαλύψει περισσότερες λεπτομέρειες σχετικά με τις επιθέσεις CVE-2025-22457, οι ερευνητές ασφαλείας Mandiant και Google Threat Intelligence Group (GTIG) αποκάλυψαν σήμερα ότι ένας υποψήφιος ηθοποιός της κατασκοπείας της Κίνας εκμεταλλεύτηκε την ευπάθεια που παρακολούθησε ως UNC5221 από τουλάχιστον στα μέσα του Μαρτίου 2025.
“Μετά την επιτυχή εκμετάλλευση, παρατηρήσαμε την ανάπτυξη δύο νεοαποκτηθέντων οικογενειών κακόβουλου λογισμικού, παρατηρήθηκε επίσης το Dropper Trailblaze μόνο και το παθητικό backdoor. Είπε ο Μανιάντ.
“Εκτιμούμε ότι είναι πιθανό ότι ο ηθοποιός απειλής μελέτησε το έμπλαστρο για την ευπάθεια στο ICS 22.7R2.6 και αποκαλύφθηκε μέσω μιας περίπλοκης διαδικασίας, ήταν δυνατόν να εκμεταλλευτεί 22.7R2.5 και νωρίτερα για να επιτευχθεί απομακρυσμένος κώδικας”.
Το UNC5221 είναι γνωστό για τη στόχευση ευπάθειας μηδενικής ημέρας σε συσκευές άκρων δικτύου από το 2023, συμπεριλαμβανομένων διαφόρων συσκευών Ivanti και Netscaler. Πιο πρόσφατα, οι Κινέζοι χάκερς εκμεταλλεύτηκαν το CVE-2025-0282, μια άλλη υπερχείλιση ασφαλούς buffer Ivanti Connect, για να αποβάλουν το New Dryhook και το Malware PhaseJam σε συμβιβασμένες συσκευές VPN.
Πριν από ένα χρόνο, η ομάδα hacking επίσης αλιεύει δύο ασφαλείς και πολιτικές ασφαλείς μηδενικές ημέρες (CVE-2023-46805 και CVE-2024-21887) για να εκτελέσουν απομακρυσμένα τις αυθαίρετες εντολές σε συσκευές Attacted ICS VPN και IPS Network Access (NAC). Ένα από τα θύματά τους ήταν η εταιρεία Miter, η οποία αποκάλυψε την παραβίαση τον Απρίλιο του 2024.
Η εταιρεία Intelligence Company Volexity δήλωσε τον Ιανουάριο του 2024 ότι η UNC5221 είχε αναβαθμίσει πάνω από 2.100 συσκευές Ivanti χρησιμοποιώντας το Webshell του TangeDvisitor σε επιθέσεις που αλιοποιούν τις δύο μηδενικές ημέρες.
Όπως προειδοποίησε η CISA και το FBI τον Ιανουάριο του 2025, οι επιτιθέμενοι εξακολουθούν να παραβιάζουν τα ευάλωτα δίκτυα χρησιμοποιώντας τα εκμεταλλεύματα που στοχεύουν τα τρωτά σημεία ασφαλείας της υπηρεσίας Ivanti Cloud Service (CSA).
Πολλαπλές άλλες ατέλειες ασφαλείας IVANTI έχουν εκμεταλλευτεί ως μηδενικές ημέρες κατά το τελευταίο έτος σε εκτεταμένες επιθέσεις εναντίον των συσκευών VPN της εταιρείας και των ICS, IPS και ZTA Gateways.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
