Компания Ivanti обнаружила критическую уязвимость CVE-2025-22457 с CVSS-оценкой 9.0, вызванную переполнением буфера стека, что позволяет удалённо выполнять произвольный код. Ошибка затрагивает системы, где применяется Ivanti Connect Secure и сопутствующие продукты.
Проблемы выявлены в следующих продуктах: Ivanti Connect Secure (версии до 22.7R2.6, патч выпущен 11 февраля 2025 года), Pulse Connect Secure (версии до 9.1R18.9, поддержка которой завершилась 31 декабря 2024 года – миграция осуществляется через обращение в Ivanti), Ivanti Policy Secure (версии до 22.7R1.3, обновление до версии 22.7R1.4 доступно с 21 апреля) и Ivanti ZTA Gateways (версии до 22.8R2, исправление внедрено в версии 22.8R2.2 с 19 апреля).
Эксплуатация уязвимости зафиксирована в дикой среде у ограниченного числа клиентов, использующих Ivanti Connect Secure и устаревшие устройства Pulse Connect Secure. Признаки компрометации включают сбои веб-сервера, а при подозрении на взлом рекомендуется выполнить заводской сброс и восстановление с обновлённой версией 22.7R2.6.
Атака сопровождается сложной цепочкой вредоносных нагрузок, включая TRAILBLAZE – загрузчик, функционирующий исключительно в оперативной памяти, и BRUSHFIRE – скрытый бэкдор, внедряемый непосредственно в память активного веб-процесса для обхода систем обнаружения. Кроме того, пакет SPAWN включает SPAWNSLOTH для подавления логирования, SPAWNSNARE для извлечения и шифрования образа ядра Linux, а также SPAWNWAVE – комбинированный вариант с элементами других инструментов.
Деятельность по эксплуатации уязвимости приписывается группе UNC5221, связанной с кибератаками из Китая. Группа ранее использовала эксплойты против устройств Ivanti Connect Secure и ассоциируется с кластерами UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 и UNC3886, демонстрируя пересечения с APT27, Silk Typhoon и UTA0178.
Дополнительные тактики включали эксплуатацию нулевых уязвимостей, как CVE-2023-4966 для устройств Citrix NetScaler, а также анализ февральского патча Ivanti с последующим реверс-инжинирингом для поиска путей удалённого исполнения кода. Использование сети скомпрометированных устройств, таких как аппараты Cyberoam, QNAP и маршрутизаторы ASUS, позволяло маскировать источники атак.
Отчёт Google-owned Mandiant, опубликованный в середине марта 2025 года, заострил внимание на сложности атрибуции и возрастании активности китайских кибершпионских групп, нацеленных на периферию корпоративных сетей без систем обнаружения и реагирования. Dan Perez, технический руководитель отдела China Mission в Google Threat Intelligence Group, отметил растущую сложность современных атак.
4 апреля 2025 года Агентство кибербезопасности США (CISA) включило уязвимость CVE-2025-22457 в каталог эксплуатируемых рисков, обязывая федеральные учреждения до 11 апреля провести обновление, выполнить заводской сброс, изолировать скомпрометированные устройства и сменить пароли для предотвращения дальнейших атак.
Параллельно с устранением основной уязвимости были защищены дополнительные CVE-2024-38657, CVE-2025-22467 и CVE-2024-10644, способные позволить атакующим записывать произвольные файлы и запускать код. Benjamin Harris, CEO компании watchTowr, подчеркнул важность независимого анализа и непрерывного мониторинга уязвимостей для принятия обоснованных решений в области безопасности.
Изображение носит иллюстративный характер
Проблемы выявлены в следующих продуктах: Ivanti Connect Secure (версии до 22.7R2.6, патч выпущен 11 февраля 2025 года), Pulse Connect Secure (версии до 9.1R18.9, поддержка которой завершилась 31 декабря 2024 года – миграция осуществляется через обращение в Ivanti), Ivanti Policy Secure (версии до 22.7R1.3, обновление до версии 22.7R1.4 доступно с 21 апреля) и Ivanti ZTA Gateways (версии до 22.8R2, исправление внедрено в версии 22.8R2.2 с 19 апреля).
Эксплуатация уязвимости зафиксирована в дикой среде у ограниченного числа клиентов, использующих Ivanti Connect Secure и устаревшие устройства Pulse Connect Secure. Признаки компрометации включают сбои веб-сервера, а при подозрении на взлом рекомендуется выполнить заводской сброс и восстановление с обновлённой версией 22.7R2.6.
Атака сопровождается сложной цепочкой вредоносных нагрузок, включая TRAILBLAZE – загрузчик, функционирующий исключительно в оперативной памяти, и BRUSHFIRE – скрытый бэкдор, внедряемый непосредственно в память активного веб-процесса для обхода систем обнаружения. Кроме того, пакет SPAWN включает SPAWNSLOTH для подавления логирования, SPAWNSNARE для извлечения и шифрования образа ядра Linux, а также SPAWNWAVE – комбинированный вариант с элементами других инструментов.
Деятельность по эксплуатации уязвимости приписывается группе UNC5221, связанной с кибератаками из Китая. Группа ранее использовала эксплойты против устройств Ivanti Connect Secure и ассоциируется с кластерами UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 и UNC3886, демонстрируя пересечения с APT27, Silk Typhoon и UTA0178.
Дополнительные тактики включали эксплуатацию нулевых уязвимостей, как CVE-2023-4966 для устройств Citrix NetScaler, а также анализ февральского патча Ivanti с последующим реверс-инжинирингом для поиска путей удалённого исполнения кода. Использование сети скомпрометированных устройств, таких как аппараты Cyberoam, QNAP и маршрутизаторы ASUS, позволяло маскировать источники атак.
Отчёт Google-owned Mandiant, опубликованный в середине марта 2025 года, заострил внимание на сложности атрибуции и возрастании активности китайских кибершпионских групп, нацеленных на периферию корпоративных сетей без систем обнаружения и реагирования. Dan Perez, технический руководитель отдела China Mission в Google Threat Intelligence Group, отметил растущую сложность современных атак.
4 апреля 2025 года Агентство кибербезопасности США (CISA) включило уязвимость CVE-2025-22457 в каталог эксплуатируемых рисков, обязывая федеральные учреждения до 11 апреля провести обновление, выполнить заводской сброс, изолировать скомпрометированные устройства и сменить пароли для предотвращения дальнейших атак.
Параллельно с устранением основной уязвимости были защищены дополнительные CVE-2024-38657, CVE-2025-22467 и CVE-2024-10644, способные позволить атакующим записывать произвольные файлы и запускать код. Benjamin Harris, CEO компании watchTowr, подчеркнул важность независимого анализа и непрерывного мониторинга уязвимостей для принятия обоснованных решений в области безопасности.
