ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Yeniden yüzeyler Bu, Ivanti Connect Secure (ICS) cihazlarında şimdi paketlenmiş bir güvenlik kusurunu hedefleyen sömürü faaliyetinin bir parçası olarak dağıtılmıştır.
Ajans, “Resurge, hayatta kalan yeniden başlatmalar da dahil olmak üzere Spawnchimera kötü amaçlı yazılım varyantının yeteneklerini içeriyor; ancak Resurge, davranışını değiştiren belirgin komutlar içeriyor.” Dedi. “Dosya bir rootkit, damlalık, backdoor, bootkit, proxy ve tunneler özelliklerini içerir.”
Kötü amaçlı yazılımın dağıtımıyla ilişkili güvenlik açığı, Ivanti Connect Secure, Politika Güvenli ve ZTA ağ geçitlerini etkileyen yığın tabanlı bir tampon taşma güvenlik açığı olan CVE-2025-0282’dir.
Aşağıdaki sürümleri etkiler –
- Ivanti Connect Secure 22.7R2.5 sürümünden önce
- 22.7R1.2 sürümünden önce Ivanti Politikası Güvenli ve
- Sürüm 22.7R2.3’ten önce ZTA Ağ Geçidi için Ivanti Nöronları
Google’a ait maniant’a göre, CVE-2025-0282, yumurtlama, yumurtlama ve yumurtlama gibi çeşitli bileşenleri içeren kötü amaçlı yazılım ekosistemini sunmak için silahlandırıldı. Yumurtlama kullanımı UNC5337 olarak adlandırılan bir Çin-Nexus casusluk grubuna atfedildi.
Geçen ay, JPCERT/CC, yukarıda belirtilen tüm farklı modülleri tek bir monolitik kötü amaçlı yazılımda birleştiren Spawnchimera olarak bilinen güncellenmiş bir yumurtlama sürümünü sunmak için kullanılan güvenlik kusurunun gözlemlendiğini, aynı zamanda UNIX alan soketleri aracılığıyla işlemler arası iletişimi kolaylaştırmak için değişiklikler eklediğini ortaya koydu.
En önemlisi, revize edilmiş varyant, diğer kötü niyetli aktörlerin kampanyaları için sömürmesini önlemek için CVE-2025-0282’yi yamaya yönelik bir özellik barındırdı.
CISA’ya göre, “libdsupgrade.so”), üç yeni komutu destekleyen Spawnchimera’ya göre bir gelişmedir –
- Kendini “ld.so.preload” içine yerleştirin, bir web kabuğu ayarlayın, bütünlük kontrollerini manipüle edin ve dosyaları değiştirin
- Kimlik bilgisi hasat, hesap oluşturma, şifre sıfırlaması ve ayrıcalık artışı için web mermilerinin kullanımını etkinleştirin
- Web kabuğunu Ivanti Koşu Önyükleme Diskine Kopyalayın ve Çalışan CoreBoot Resimini Manipüle edin
Cisa, belirtilmemiş bir kritik altyapı varlığının ICS cihazından diğer iki eseri de ortaya çıkardığını söyledi: yeniden ortaya çıkan bir Spawnsloth (“liblogblock.so”) ve ısmarlama 64 bit Linux elf ikili (“dsmain”).
” [SPAWNSLOTH variant] Ivanti aygıt günlüklerine sahip tamperler, “dedi. Açık kaynaklı kabuk komut dosyası, uzatılmamış bir çekirdek görüntüsünü (VMLINUX) tehlikeye atılmış bir çekirdek görüntüsünden çıkarma yeteneğine izin verir. “
Microsoft, bu ayın başlarında açıklanan ipek tayfun (eski adıyla Hafnium) olarak izlenen başka bir Çin bağlantılı tehdit grubu tarafından CVE-2025-0282’nin de sıfır gün olarak kullanıldığını belirtmek gerekir.
En son bulgular, kötü amaçlı yazılımların arkasındaki tehdit aktörlerinin aktif olarak rafine ettiklerini ve tradecraft’larını yeniden işlediğini ve kuruluşların Ivanti örneklerini en son sürüme yerleştirmesini zorunlu kıldığını gösteriyor.
Daha fazla hafifletme olarak, ayrıcalıklı ve ayrıcalıklı olmayan hesapların kimlik bilgilerini sıfırlamanız, tüm etki alanı kullanıcıları ve tüm yerel hesaplar için şifreleri döndürmeniz, etkilenen cihazlar için ayrıcalıkları geçici olarak iptal etmek, ilgili hesap kimliklerini veya erişim anahtarlarını sıfırlamak ve hesapları anormal etkinlik belirtileri için izlemeniz önerilir.