Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ivanti Connect Secure Cihazlarında (CVE-2025-0282) kritik bir güvenlik açığının sömürülmesini detaylandıran bir kötü amaçlı yazılım analiz raporu (Mar-2593211-r1.v1) yayınladı.
Bu güvenlik açığı, saldırganların yeni tanımlanan Resurge ve Spawnsloth dahil olmak üzere yetkisiz erişim elde etmelerini ve gelişmiş kötü amaçlı yazılım varyantlarını dağıtmalarını sağlar.
CISA’nın analizi, Resurge’ın bir arka kapı ve rootkit olarak çalıştığını ve saldırganların komut ve kontrol (C2) işlemleri için güvenli kabuk (SSH) tünelleri oluşturmalarını sağladığını ortaya koydu.
Kötü amaçlı yazılım sistem dosyalarını değiştirir, bütünlük denetimlerini atlar ve Ivanti önyükleme diskine bir web kabuğu yükler. Ayrıca tespit etmek ve kalıcılığı korumak için şifreleme mekanizmaları içerir.
Spawnsloth olarak tanımlanan ilgili bir dosya, yeniden ortaya çıkmıştır. Bu varyant, sistem günlüklerine müdahale etme konusunda uzmanlaşmıştır, bu da kötü niyetli etkinlikleri izlemeyi zorlaştırır.
Ayrıca, CISA, meşgul kutusu ve komut dosyaları gibi açık kaynaklı araçlardan özel bir ikili kaldırma keşfetti. extract_vmlinux.sh. Bu araçlar, saldırganların çekirdek görüntülerini çıkarmasını, güvenlik açıklarını analiz etmesini ve tehlikeye atılan cihazlarda yükleri yürütmesini sağlar.
Sömürü Detayları ve Uzlaşma Göstergeleri (IOCS)
Resurge kötü amaçlı yazılım, sistemlere sızmak için CVE-2025-0282’den yararlanır.
İçeri girdikten sonra aşağıdaki eylemleri gerçekleştirir:
- Kendini kritik sistem dosyalarına ekler (
ld.so.preload) uzaktan komut yürütme için. - Önyükleme işlemlerini manipüle etmek ve kötü niyetli yükler enjekte etmek için Corboot görüntülerini değiştirir.
- Python komut dosyalarını değiştirir (
scanner.pyVescanner_legacy.py) Dosya bütünlüğü taramalarında uyumsuzluk izlemeyi devre dışı bırakmak için.
Bu modifikasyonlar, saldırganların güvenlik mekanizmaları tarafından tespitten kaçarken tehlikeye atılan sistemler üzerinde kontrolü sürdürmelerine izin verir.
CISA, Ivanti Connect Secure Cihazları kullanan kuruluşların bu tehdidi azaltmak için derhal harekete geçmesini şiddetle tavsiye ediyor.
Anahtar adımlar şunları içerir:
- Gecikmeden CVE-2025-0282 için güvenlik yamalarının uygulanması.
- Olağandışı SSH bağlantıları veya tünelleme etkinliği için ağ trafiğinin izlenmesi.
- Kurcalama girişimlerini tespit etmek için sağlam günlüğe kaydetme uygulamalarının uygulanması.
- ETROurge ve Spawnsloth kötü amaçlı yazılımlarla ilişkili bilinen IOC’ler için düzenli olarak tarama sistemleri.
CISA ayrıca güncel antivirüs çözümlerinin sürdürülmesini, güçlü şifre politikalarının uygulanmasını ve bu tür tehditlere maruz kalmayı en aza indirmek için idari ayrıcalıkların kısıtlanmasını önermektedir.
Bu danışma, kritik altyapıyı hedefleyen siber saldırıların artan karmaşıklığını ve proaktif savunma önlemlerine ihtiyaç olduğunu vurgulamaktadır. Kuruluşlardan daha ileri analiz ve destek için CISA’ya şüpheli bir etkinlik bildirmeleri istenir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free