
Aktor ancaman Tiongkok sekali lagi mengeksploitasi perangkat akses jarak jauh Ivanti secara luas.
Jika Anda memiliki satu nikel untuk setiap kerentanan tingkat tinggi yang memengaruhi peralatan Ivanti tahun lalu, Anda akan memiliki banyak uang receh. Ada yang kritis bypass autentikasi di Virtual Traffic Manager (vTM)-nyaitu Bug injeksi SQL di Endpoint Manager-nyaA trio yang memengaruhi Cloud Services Appliance (CSA) miliknya, masalah kritis dengan Standalone Sentry dan Neuron untuk Manajemen Layanan TI (ITSM)ditambah puluhan lagi.
Semuanya dimulai Januari lalu, ketika dua kerentanan serius ditemukan di gateway Connect Secure (ICS) dan Policy Secure Ivanti. Pada saat pengungkapannya, kerentanan tersebut telah dieksploitasi oleh tersangka pelaku ancaman perhubungan Tiongkok, UNC5337, yang diyakini merupakan entitas UNC5221.
Sekarang, satu tahun satu janji yang aman sesuai desain Belakangan, pelaku ancaman kembali menghantui Ivanti lagi, melalui a kerentanan kritis baru di ICS yang juga memengaruhi gateway Policy Secure dan Neurons for Zero Trust Access (ZTA). Ivanti lebih lanjut memperingatkan tentang bug kedua yang tidak terlalu parah yang belum pernah ditemukan dalam eksploitasi.
“Hanya karena kita sering melihatnya, bukan berarti hal ini mudah untuk dilakukan — kelompok yang sangat canggihlah yang melakukan hal ini,” kata Arctic Wolf CISO Adam Marrè, untuk membela vendor TI yang tertindas. “Rekayasa tidaklah mudah, dan rekayasa yang aman bahkan lebih sulit lagi. Jadi, meskipun Anda mungkin mengikuti prinsip-prinsip secure-by-design, itu tidak berarti bahwa seseorang tidak akan mampu ikut serta dalam hal ini. teknologi baru, atau teknik baru, serta waktu dan sumber daya yang cukup, untuk meretasnya.”
2 Lebih Banyak Bug Keamanan di Perangkat Ivanti
Yang belum dieksploitasi (sejauh yang diketahui peneliti) adalah CVE-2025-0283, peluang buffer overflow di versi ICS sebelum 22.7R2.5, Policy Secure sebelum 22.7R1.2, dan Neuron untuk gateway ZTA sebelum 22.7R2.3 . Masalah dengan tingkat keparahan “tinggi” 7,0 dari 10 dalam Sistem Penilaian Kerentanan Umum (CVSS) dapat memungkinkan penyerang meningkatkan hak istimewanya pada perangkat yang ditargetkan, namun mengharuskan perangkat tersebut diautentikasi terlebih dahulu.
CVE-2025-0282 — diberi peringkat “kritis” 9,0 di CVSS — tidak disertai peringatan yang sama, memungkinkan eksekusi kode sebagai root tanpa memerlukan autentikasi. Ivanti mengungkapkan sedikit rincian mengenai penyebab pasti masalah ini, namun peneliti dari WatchTowr mampu mengungkapkannya berhasil merekayasa balik suatu eksploitasi setelah membandingkan versi ICS yang ditambal dan belum ditambal.
Menurut Mandiant, aktor ancaman dimulai mengeksploitasi CVE-2025-0282 pada pertengahan Desembermenyebarkan keluarga malware “Spawn” yang sama yang terkait dengan eksploitasi UNC5337 dari bug Ivanti sebelumnya. Alat-alat tersebut meliputi:
-
Penginstal SpawnAnt, yang menghapus malware rekannya dan bertahan melalui peningkatan sistem
-
SpawnMole, yang memfasilitasi komunikasi bolak-balik dengan infrastruktur penyerang
-
SpawnSnail, pintu belakang passive secure shell (SSH).
-
SpawnSloth, yang merusak log untuk menyembunyikan bukti aktivitas jahat
“Kelompok malware pelaku ancaman menunjukkan pengetahuan yang signifikan tentang alat Ivanti Connect Secure,” kata konsultan senior Mandiant, Matt Lin. Faktanya, selain UNC5337 dan bibitnya, para peneliti juga mengamati dua malware lain yang tidak terkait namun memiliki spesifikasi yang sama dan disebarkan ke perangkat yang terinfeksi. Satu – DryHook, skrip Python – dirancang untuk mencuri kredensial pengguna dari perangkat yang ditargetkan.
Yang lainnya, PhaseJam, adalah skrip bash shell yang memungkinkan eksekusi perintah jarak jauh dan sewenang-wenang. Namun, yang paling kreatif adalah kemampuannya mempertahankan ketekunan melalui sulap. Jika administrator mencoba memperbarui perangkatnya – sebuah proses yang akan menggeser PhaseJam – malware tersebut malah akan menampilkan bilah kemajuan palsu yang menyimulasikan masing-masing dari 13 langkah yang mungkin diharapkan dalam pembaruan yang sah. Sementara itu, di latar belakang, ini mencegah pembaruan yang sah berjalan, sehingga memastikan bahwa pembaruan tersebut tetap ada di hari lain.
DryHook dan PhaseJam mungkin merupakan hasil kerja UNC5337, kata Mandiant, atau pelaku ancaman lainnya.
Saatnya Memperbarui
Data dari The ShadowServer Foundation menunjukkan bahwa sekitar 2.000 instance ICS mungkin rentan pada saat artikel ini ditulis, dengan konsentrasi terbesar di AS, Prancis, dan Spanyol.
Sumber: Yayasan Shadowserver
Ivanti dan Badan Keamanan Siber dan Infrastruktur (CISA) telah menerbitkannya instruksi untuk mitigasi CVE-2025-0282menekankan bahwa pembela jaringan harus menjalankan Alat Pemeriksa Integritas (ICT) bawaan Ivanti untuk mencari infeksi, dan segera menerapkan patch.
“Kami telah merilis patch untuk mengatasi kerentanan terkait Ivanti Connect Secure,” kata juru bicara Ivanti kepada Dark Reading. “Ada eksploitasi terbatas terhadap salah satu kerentanan ini dan kami secara aktif bekerja sama dengan pelanggan yang terkena dampak. ICT Ivanti telah efektif dalam mengidentifikasi kompromi terkait kerentanan ini. Eksploitasi pelaku ancaman diidentifikasi oleh ICT pada hari yang sama saat terjadinya, sehingga memungkinkan Ivanti untuk merespons dengan cepat dan segera mengembangkan perbaikan. Kami sangat menyarankan pelanggan untuk memantau ICT internal dan eksternal mereka secara ketat sebagai bagian dari pendekatan keamanan siber yang kuat dan berlapis untuk memastikan integritas dan keamanan seluruh infrastruktur jaringan.”
Perlu dicatat bahwa tidak seperti ICS, gateway Policy Secure dan ZTA tidak akan menerima patch mereka hingga 21 Januari. Dalam penasihat keamanannya, Ivanti menyatakan bahwa gateway ZTA “tidak dapat dieksploitasi saat dalam produksi,” dan Policy Secure adalah dirancang untuk tidak menjadi Berhadapan dengan internetmengurangi risiko eksploitasi melalui CVE-2025-0282 atau kerentanan serupa.
“Penting bagi administrator di sini untuk melakukan hal-hal yang benar,” kata Marrè, seraya menyatakan, “Hal ini dapat mengakibatkan downtime, yang dapat mengganggu organisasi, yang dapat menyebabkan mereka menunda, atau tidak memperbaikinya secara menyeluruh dan sebagaimana mestinya. sebaik yang seharusnya.”
Lin menambahkan, “Kami mengamati organisasi-organisasi yang secara historis bertindak cepat dalam menanggapi ancaman-ancaman ini tidak mengalami dampak negatif yang sama jika dibandingkan dengan organisasi-organisasi yang gagal melakukan hal yang sama.” Ia juga mengakui, “Semua kekacauan yang terjadi di latar belakang setelah salah satu patch ini diumumkan.
“Tim keamanan di seluruh organisasi harus berjuang untuk tidak hanya melakukan perbaikan, namun juga memahami apakah mereka rentan, dan jika ya, apakah mereka rentan? hanya perlu ditambal, atau apakah sudah dilanggar? Dan jika mereka dilanggar, hal ini akan memicu respons terhadap insiden lainnya, yang menciptakan alur kerja besar-besaran di seluruh perusahaan di seluruh dunia. Penting untuk tidak melupakan kerja keras dan kelelahan yang dialami para pembela HAM ketika menilai skenario ini dan tidak terlalu kritis terhadap waktu reaksi awal mereka.”