Ivanti Connect Secure’de (CVE-2025-0282) kritik bir güvenlik açığı, Spawnchimera olarak bilinen gelişmiş bir kötü amaçlı yazılım varyantı dağıtmak için birden fazla tehdit aktörü tarafından aktif olarak kullanılmaktadır.
Ocak 2025’te açıklanan bu güvenlik açığı, uzaktan bilmeyen saldırganların savunmasız cihazlarda keyfi kod yürütmesine izin veren yığın tabanlı bir tampon taşmasıdır.
CVSS skoru 9.0 ile, Ivanti’nin uzaktan erişim çözümlerini kullanan kuruluşlar için önemli bir risk oluşturmaktadır.
Güvenlik açığının sömürülmesi
Japonya Bilgisayar Acil Müdahale Ekibi Koordinasyon Merkezi (JPCERT/CC), CVE-2025-0282’nin sömürülmesinin, güvenlik açığı kamuya açıklanmadan önce bile Aralık 2024’ün sonlarında başladığını bildirdi.
Saldırganlar, ağlara sızmak ve daha önce Google’ın maniant ekibi tarafından tanımlanan Spawn kötü amaçlı yazılım ailesinin bir evrimi olan Spawnchimera kötü amaçlı yazılımlarını yüklemek için bu kusurdan yararlandı.
Spawnchimera, daha önceki kötü amaçlı yazılım varyantlarından (Spawrant, Spawnmole ve Spawnsnail) özellikleri daha sofistike ve kaçınılmaz bir tehdit haline getiriyor.
Kötü amaçlı yazılımın temel teknik geliştirmeleri
İşlemler arası iletişim değişiklikleri
Önceki sürümlerde enjekte edilen işlemler arasındaki iletişim için 127.0.0.1’de TCP bağlantı noktası 8300 kullanılmıştır. Spawnchimera bunu /home/runtime/tmp/.logsrv adresinde bulunan Unix etki alanı soketleriyle değiştirir.
Bu değişiklik, NetStat gibi ağ izleme araçlarındaki görünürlüğü azaltır ve algılamayı daha zor hale getirir.
Dinamik güvenlik açığı düzeltmesi
Benzersiz bir şekilde, Spawnchimera, sömürülen CVE-2025-0282 güvenlik açığını dinamik olarak yamalamak için bir özellik içerir.
Strncpy işlevini bağlayarak ve kopya boyutunu 256 baytla sınırlandırarak, kötü amaçlı yazılım, diğer saldırganların veya kavram kanıtı (POC) taramalarının sonraki sömürü girişimlerini önler.
Geliştirilmiş kod çözme mekanizmaları
Kötü amaçlı yazılımların sunucu işlevselliği için kullanılan özel SSH anahtarı artık ikili içinde kodlanmış bir formatta saklanır ve XOR tabanlı bir işlev kullanılarak çalışma zamanında kod çözülür.
Bu, /tmp/.dskey gibi dosya artefaktlarını ortadan kaldırarak geride kalan adli kanıtları azaltır.
Hata ayıklama mesajlarının kaldırılması
Hata ayıklama özellikleri hem Spawnchimera’dan hem de ilişkili yüklerden (örneğin, Spawnsloth) soyuldu ve ters mühendislik ve analiz çabalarını karmaşıklaştırdı.
Bir kendi kendine paylaşım mekanizmasının eklenmesi, saldırganların dayanaklarını güvence altına almak için taktiklerini nasıl geliştirdiklerini ve iyileştirme yapan savunuculara erişimi reddettiği için özellikle endişe vericidir.
Ayrıca, kodlanmış anahtarların ve UNIX etki alanı soketlerinin kullanımı, daha gizli bir şekilde sömürü sonrası tekniklere doğru bir kaymayı vurgulamaktadır.
Azaltma önlemleri
Ivanti, CVE-2025-0282’yi adresleyen yamalar yayınladı ve 22.7R2.5’ten önce Ivanti Connect Güvenli Sürümler de dahil olmak üzere etkilenen tüm cihazlara anında uygulama öneriyor.
Spawnchimera’nın ortaya çıkışı, kurumsal sınıf VPN çözümlerini hedefleyen kötü amaçlı yazılımların artan sofistike olmasının altını çizmektedir.
Kuruluşlar, bu ileri tehditle ilişkili riskleri azaltmak için güvenlik açıklarını yama ve izleme yeteneklerini geliştirmelidir.
IOC
Kötü Yazılım Hashes
SPAWNCHIMERA 94b1087af3120ae22cea734d9eea88ede4ad5abe4bdeab2cc890e893c09be955
SPAWNSLOTH 9bdf41a178e09f65bf1981c86324cd40cb27054bf34228efdcfee880f8014baf
Kötü amaçlı yazılım dosyası yolları bulundu
SPAWNCHIMERA /lib/libdsupgrade.so
SPAWNSLOTH /tmp/.liblogblock.so