Атака на бизнес: критическая брешь в продуктах Ivanti подрывает корпоративную безопасность

Компания Ivanti сообщила о начале активной эксплуатации критической уязвимости CVE-2025-0282 (CVSS 9.0), затрагивающей продукты Connect Secure (до версии 22.7R2.5), Policy Secure (до версии 22.7R1.2) и Neurons for ZTA Gateway (до версии 22.7R2.3). Эта уязвимость представляет собой переполнение буфера в стеке, позволяющее злоумышленникам выполнять удалённый код без авторизации.

Ivanti сообщила, что угрозу удалось выявить благодаря инструменту Integrity Checker Tool (ICT), который зафиксировал активность в день её проявления. Это позволило компании оперативно выпустить исправления. Параллельно была выявлена и устранена уязвимость CVE-2025-0283 (CVSS 7.0), позволяющая локальным пользователям повышать свои привилегии. Проблемы исправлены в версии 22.7R2.5.

Компания Mandiant обнаружила, что уязвимость CVE-2025-0282 использовалась хакерами, связанными с китайской группой UNC5337. В ходе атак применялась вредоносная экосистема SPAWN, включая ранее неизвестные программы DRYHOOK и PHASEJAM.

Атаки включали отключение SELinux, изменение логов, размещение веб-шеллов и запуск ELF-бинарников, таких как PHASEJAM. Этот скрипт блокирует обновления системы и вносит изменения в файлы компонентов устройства. Используемые веб-шеллы позволяют передавать команды злоумышленникам, загружать файлы и читать данные.

Эксплуатация также включала:

• Проведение внутренней разведки сети через инструменты nmap и dig.
• Использование LDAP для запросов к Active Directory и горизонтального перемещения.
• Кражу базы данных сессий VPN, API-ключей и учётных данных.
• Сбор паролей через Python-скрипт DRYHOOK.

CISA добавила CVE-2025-0282 в каталог известных эксплуатируемых уязвимостей и требует от федеральных агентств установить необходимые обновления безопасности до 15 января 2025 года. Организациям рекомендовано сканировать свои системы на признаки компрометации и немедленно сообщать о подозрительных инцидентах.