Ivanti tem publicado um aviso sobre uma vulnerabilidade de dia zero, rastreada como CVE-2025-0282em seus dispositivos VPN amplamente utilizados que foram explorados para comprometer as redes dos clientes. A vulnerabilidade pode ser explorada sem autenticação, permitindo que invasores plantem remotamente códigos maliciosos nos produtos Connect Secure, Policy Secure e ZTA Gateways da Ivanti.
Ivanti alerta sobre vulnerabilidade de dia zero em dispositivos VPN
Divulgada na quarta-feira, a falha crítica afeta o Ivanti Connect Secure, que é considerado “a VPN SSL mais amplamente adotada por organizações de todos os tamanhos, em todos os principais setores”. A empresa tomou conhecimento da vulnerabilidade quando sua ferramenta Integrity Checker (ICT) detectou atividades maliciosas em dispositivos de clientes. A Ivanti reconhece ter conhecimento de um “número limitado de clientes” cujos aparelhos foram comprometidos.
Embora um patch esteja disponível para Connect Secure, patches para Policy Secure e ZTA Gateways, que não foram confirmados como exploráveis, não são esperados até 21 de janeiro. Ivanti também identificou uma segunda vulnerabilidade, CVE-2025-0283que ainda não foi explorado.
Não ignore: a atualização de segurança cibernética da Adobe pode salvar seus dados
Mandiant, uma empresa de resposta a incidentes, relatado que observou a exploração de CVE-2025-0282 já em meados de dezembro de 2024. Embora a Mandiant não tenha vinculado definitivamente as vulnerabilidades a um ator de ameaça específico, ela suspeita do envolvimento de um grupo de ciberespionagem ligado à China conhecido como UNC5337 e UNC5221. Este grupo já explorou vulnerabilidades da Ivanti para executar hacks em massa contra clientes.
De acordo com TechCrunchBen Harris, CEO da watchTowr Labs, observou o impacto generalizado da última falha da Ivanti VPN, indicando que os ataques demonstram características típicas de uma ameaça persistente avançada. O Centro Nacional de Segurança Cibernética do Reino Unido também está investigando casos de exploração ativa que afetam redes no Reino Unido. Enquanto isso, a agência de segurança cibernética dos EUA, CISA, adicionou a vulnerabilidade ao seu catálogo de vulnerabilidades exploradas conhecidas.
Link para ciberespiões chineses
A Mandiant vinculou a exploração do CVE-2025-0282 a atores cibernéticos chineses, observando o uso de uma família de malware descoberta anteriormente chamada Spawn. Este kit de ferramentas inclui várias ferramentas maliciosas, como um instalador, um tunelizador e um backdoor SSH, todas ligadas a atividades de espionagem atribuídas ao UNC5337.
Além do Spawn, a Mandiant identificou duas novas famílias de malware chamadas DryHook e PhaseJam, que atualmente não estão associadas a nenhum grupo de ameaças conhecido. A cadeia de exploração envolve invasores enviando solicitações para identificar versões de software de dispositivos e, em seguida, aproveitando o CVE-2025-0282 para obter acesso, desabilitar proteções de segurança e implantar malware adicional.
Uma vez comprometidos, os invasores usaram o conta-gotas PhaseJam para criar web shells nos dispositivos conectados. PhaseJam também modifica scripts de atualização para bloquear atualizações reais. O kit de ferramentas Spawn, que deve persistir durante as atualizações do sistema, também é implantado junto com as novas famílias de malware.
O objetivo principal dos invasores parece ser roubar informações confidenciais relacionadas a sessões VPN, chaves de API e credenciais, arquivando bancos de dados nos dispositivos afetados e preparando esses dados para exfiltração. DryHook foi empregado para capturar credenciais de usuários durante processos de autenticação.
Os especialistas em segurança recomendam que os administradores do sistema realizem uma redefinição de fábrica e atualizem para o Ivanti Connect Secure versão 22.7R2.5. Este aviso é fundamental dado que mais de 3.600 dispositivos ICS foram anteriormente expostos online quando a vulnerabilidade inicial foi anunciada, embora o número tenha diminuído desde então para aproximadamente 2.800, indicando um risco significativo contínuo.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
