CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限

admin 2025年1月20日08:56:44评论14 views字数 1498阅读4分59秒阅读模式

CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限

关键词

安全漏洞

CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限

Palo Alto Networks 发布了一份详细的威胁简报,介绍了 Ivanti 产品中的两个严重漏洞 CVE-2025-0282 和 CVE-2025-0283。这些漏洞影响 Ivanti 的 Connect Secure、Policy Secure 和 ZTA 网关设备,这些设备广泛用于实现远程网络连接。

CVE-2025-0282 是 Ivanti Connect Secure 22.7R2.5 之前版本、Policy Secure 22.7R1.2 之前版本以及 ZTA 网关 22.7R2.3 之前版本中的一个基于堆栈的缓冲区溢出漏洞。该漏洞允许未经身份验证的攻击者通过向存在漏洞的设备发送特制请求来实现远程代码执行 (RCE)。该漏洞被评为严重,CVSS 评分为 9.0。

同时,CVE-2025-0283 也是一个基于堆栈的缓冲区溢出漏洞,它使本地经过身份验证的攻击者能够在受影响的设备上提升其权限。尽管该漏洞的严重性评级为高(CVSS 评分为 7.0),但迄今为止尚未发现有人主动利用该漏洞。

多家网络安全组织记录了 CVE-2025-0282 的利用情况,包括 Mandiant、Watchtowr Labs 和 Palo Alto Networks。据观察,攻击者利用此零日漏洞渗透内部网络。Palo Alto Networks详细说明:“我们的遥测显示,2024 年 12 月下旬,一名威胁行为者可能利用了面向公众的 Ivanti Connect Secure (ICS) VPN 设备中的 CVE-2025-0282 零日预身份验证远程代码执行漏洞。”

该活动集群被追踪为CL-UNK-0979,涉及四个阶段的攻击:

  1. 初始访问:攻击者通过利用暴露的 Ivanti 设备上的 CVE-2025-0282 获取进入权限。

  2. 凭证收集和横向移动:名为 ldap.pl 的自定义 Perl 脚本用于收集凭证,这些凭证随后用于受害者网络内基于 RDP 的横向移动。

  3. 防御逃避:日志文件被系统地删除,受感染设备上的/var/cores等目录 被清除,以阻碍法医调查。

  4. 持久性:像 SPAWNSNAIL 这样的后门和自定义恶意软件工具可以建立对目标系统的持久访问权限。

攻击工具和技术

CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限
攻击中使用的 Perl 脚本 ldap.pl 的内容 | 来源:Palo Alto Networks
  • 自定义 Perl 脚本:脚本ldap.pl用于从 Ivanti 设备中提取和解密凭据。

  • 内存转储工具:利用 Visual Studio 的 MSBuild.exe,使用名为package.dll的工具来收集 LSASS 内存中的凭证。

  • DLL 侧加载: deelevator64.dll和vixDiskLib.dll等恶意 DLL使攻击者能够将后门侧加载到系统中。

攻击者使用了多个命令和控制 (C2) 服务器,包括:

  • 168.100.8[.]144

  • 193.149.180[.]128

vixDiskLib.dll 和 deelevator64.dll 等文件工件与横向移动和持久性有关。

Ivanti 已发布针对这些漏洞的补丁,并建议立即更新所有受影响的系统。他们的建议强调了应用补丁的重要性,特别是对于一直是主要目标的 Connect Secure 设备。Ivanti 还鼓励使用其完整性检查工具 (ICT) 来监控可疑活动。

来源:https://securityonline.info/cl-unk-0979-exploit-zero-day-flaw-in-ivanti-connect-secure-to-gain-access-to-networks/

  END  

原文始发于微信公众号(安全圈):【安全圈】CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月20日08:56:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CL-UNK-0979 利用 Ivanti Connect Secure 中的零日漏洞获取网络访问权限https://cn-sec.com/archives/3647635.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息