Ivanti Connect Secure VPN 成为新0day攻击的目标

Google 旗下的 Mandiant 将新修补的 Ivanti VPN 0day漏洞的利用与网络间谍联系起来。

Ivanti 周三向客户发出警报，其 Connect Secure (ICS) VPN 设备中已修复两个漏洞，分别为 CVE-2025-0282 和 CVE-2025-0283。

Ivanti 警告称，CVE-2025-0282 是一种严重的基于堆栈的缓冲区溢出漏洞，可让未经身份验证的远程攻击者执行任意代码。该漏洞已被利用来攻击有限数量的客户。

Ivanti 并未透露有关这些攻击的任何细节，只是表示，入侵是使用该公司的完整性检查工具 (ICT) 和商业安全监控工具发现的。

与 Ivanti 合作调查这些攻击的 Mandiant 研究人员透露，该漏洞利用与APT组织有关。Mandiant 在 2024 年 12 月中旬开始发现 CVE-2025-0282 被利用。

Mandiant 表示，目前无法将 CVE-2025-0282 的利用归因于特定的威胁组织。攻击者部署了一个被追踪为 Spawn 的恶意软件家族，该家族之前被归因于一个间谍组织，被追踪为UNC5337。

Spawn 恶意软件家族包括 SpawnAnt 安装程序、SpawnMole 隧道程序和名为 SpawnSnail 的 SSH 后门。

Mandiant 以中等可信度认为，UNC5337 是UNC5221的一部分，该威胁组织之前曾利用 Ivanti 产品漏洞（例如 CVE-2023-46805 和 CVE-2024-21887）。这些攻击的受害者包括MITRE和CISA。

在利用新 Ivanti ICS 0day漏洞 CVE-2025-0282 的攻击中，Mandiant 还发现了之前未知的恶意软件家族，它们被命名为 DryHook 和 PhaseJam。这些恶意软件尚未与已知威胁组织联系起来。

Mandiant 解释道：“可能有多个参与者负责创建和部署这些不同的代码系列（即 Spawn、DryHook 和 PhaseJam），但截至发布此报告时，我们没有足够的数据来准确评估针对 CVE-2025-0282 的威胁参与者的数量。”

在 Mandiant 观察到的攻击中，黑客首先向目标设备发送请求，以确定其软件版本，因为漏洞利用是特定于版本的。然后，他们利用 CVE-2025-0282、禁用 SELinux、进行配置更改、执行脚本并部署 Web Shell，为部署恶意软件做准备。

PhaseJam 恶意软件是一种植入程序，旨在修改 Ivanti Connect Secure 组件、部署 Web Shell 并覆盖可执行文件以方便执行任意命令。该恶意软件可帮助攻击者建立初始立足点，使他们能够执行命令、将文件上传到设备并窃取数据。

攻击者在后利用阶段使用了 DryHook 恶意软件来窃取凭证。

为了在系统升级过程中保持持久性，攻击者利用了 SpawnAnt 恶意软件，该恶意软件会将自身及其组件复制到一个特殊的升级分区。此外，PhaseJam 恶意软件会阻止系统升级，但会显示虚假的升级进度条以避免引起怀疑。

Mandiant 警告称，如果概念验证 (PoC) 漏洞被创建并公开，CVE-2025-0282 可能会被更多威胁组织利用。

CISA 周三将 Ivanti Connect Secure 0day漏洞添加到其已知利用漏洞 (KEV) 目录中，指示联邦机构在 1 月 15 日之前解决该安全漏洞。 

值得注意的是，Ivanti 已经发布了针对 Connect Secure 的补丁，但 ZTA 网关的 Policy Secure 和 Neurons 也受到影响，并且它们要到 1 月 21 日才会收到补丁。

技术报告：

https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day

新闻链接：

https://www.securityweek.com/exploitation-of-new-ivanti-vpn-zero-day-linked-to-chinese-cyberspies/