Эксплуатация уязвимости Ivanti для запуска TRAILBLAZE и BRUSHFIRE

Компания Ivanti обнаружила критическую уязвимость CVE-2025-22457 с CVSS-оценкой 9.0, вызванную переполнением буфера стека, что позволяет удалённо выполнять произвольный код. Ошибка затрагивает системы, где применяется Ivanti Connect Secure и сопутствующие продукты.
Эксплуатация уязвимости Ivanti для запуска TRAILBLAZE и BRUSHFIRE
Изображение носит иллюстративный характер

Проблемы выявлены в следующих продуктах: Ivanti Connect Secure (версии до 22.7R2.6, патч выпущен 11 февраля 2025 года), Pulse Connect Secure (версии до 9.1R18.9, поддержка которой завершилась 31 декабря 2024 года – миграция осуществляется через обращение в Ivanti), Ivanti Policy Secure (версии до 22.7R1.3, обновление до версии 22.7R1.4 доступно с 21 апреля) и Ivanti ZTA Gateways (версии до 22.8R2, исправление внедрено в версии 22.8R2.2 с 19 апреля).

Эксплуатация уязвимости зафиксирована в дикой среде у ограниченного числа клиентов, использующих Ivanti Connect Secure и устаревшие устройства Pulse Connect Secure. Признаки компрометации включают сбои веб-сервера, а при подозрении на взлом рекомендуется выполнить заводской сброс и восстановление с обновлённой версией 22.7R2.6.

Атака сопровождается сложной цепочкой вредоносных нагрузок, включая TRAILBLAZE – загрузчик, функционирующий исключительно в оперативной памяти, и BRUSHFIRE – скрытый бэкдор, внедряемый непосредственно в память активного веб-процесса для обхода систем обнаружения. Кроме того, пакет SPAWN включает SPAWNSLOTH для подавления логирования, SPAWNSNARE для извлечения и шифрования образа ядра Linux, а также SPAWNWAVE – комбинированный вариант с элементами других инструментов.

Деятельность по эксплуатации уязвимости приписывается группе UNC5221, связанной с кибератаками из Китая. Группа ранее использовала эксплойты против устройств Ivanti Connect Secure и ассоциируется с кластерами UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 и UNC3886, демонстрируя пересечения с APT27, Silk Typhoon и UTA0178.

Дополнительные тактики включали эксплуатацию нулевых уязвимостей, как CVE-2023-4966 для устройств Citrix NetScaler, а также анализ февральского патча Ivanti с последующим реверс-инжинирингом для поиска путей удалённого исполнения кода. Использование сети скомпрометированных устройств, таких как аппараты Cyberoam, QNAP и маршрутизаторы ASUS, позволяло маскировать источники атак.

Отчёт Google-owned Mandiant, опубликованный в середине марта 2025 года, заострил внимание на сложности атрибуции и возрастании активности китайских кибершпионских групп, нацеленных на периферию корпоративных сетей без систем обнаружения и реагирования. Dan Perez, технический руководитель отдела China Mission в Google Threat Intelligence Group, отметил растущую сложность современных атак.

4 апреля 2025 года Агентство кибербезопасности США (CISA) включило уязвимость CVE-2025-22457 в каталог эксплуатируемых рисков, обязывая федеральные учреждения до 11 апреля провести обновление, выполнить заводской сброс, изолировать скомпрометированные устройства и сменить пароли для предотвращения дальнейших атак.

Параллельно с устранением основной уязвимости были защищены дополнительные CVE-2024-38657, CVE-2025-22467 и CVE-2024-10644, способные позволить атакующим записывать произвольные файлы и запускать код. Benjamin Harris, CEO компании watchTowr, подчеркнул важность независимого анализа и непрерывного мониторинга уязвимостей для принятия обоснованных решений в области безопасности.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка