Ivanti 公開披露了影響 Connect Secure (ICS) VPN 設備的兩個關鍵漏洞： CVE-2025-0282 和 CVE-2025-0283。

網絡安全公司 Mandiant 的報告稱，CVE-2025-0282 零日漏洞利用活動開始于 2024 年 12 月中旬。這一漏洞的利用引發了人們對潛在網絡漏洞以及受影響組織后續損害的擔憂。

比較而言，CVE-2025-0282 是兩個漏洞中更為嚴重的一個，被描述為未經身份驗證的基于棧的緩沖區溢出漏洞。

利用該漏洞，攻擊者無需身份驗證即可實現遠程代碼執行，從而為他們在受感染的網絡中部署惡意軟件或進行進一步攻擊提供立足點。

CVE-2025-0283 的信息尚未完全披露，但同樣被認為是關鍵漏洞。

Mandiant 的持續調查表明，CVE-2025-0282 正在被利用于針對多個組織的定向攻擊活動中。

攻擊者在發起攻擊前展示了探測 ICS 設備版本的高超技術，特別是針對特定軟件版本中的漏洞進行攻擊。

Mandiant 觀察到威脅行為者利用了一系列惡意軟件家族，包括已知的 SPAWN 生態系統（SPAWNANT 安裝程序、 SPAWNMOLE 隧道工具和 SPAWNSNAIL SSH 后門）。

在受感染的設備中還識別出了兩個新的惡意軟件家族：DRYHOOK 和 PHASEJAM。

攻擊技術和持久化方法

攻擊者在利用 CVE-2025-0282 時典型的攻擊步驟包括禁用 SELinux 等安全功能、寫入惡意腳本、部署 Web Shell 以及篡改系統日志以隱藏入侵痕跡。

特別令人擔憂的是，攻擊者植入了在系統升級后仍然能夠存活的持久化惡意軟件組件，確保即使系統被修補，攻擊者仍能保持訪問權限。

分析還揭示了攻擊者在 ICS 軟件組件中部署了 Web Shell，以實現遠程訪問和代碼執行。

例如，PHASEJAM 惡意軟件會劫持系統升級過程，利用基于 HTML 的虛假升級進度條，從視覺上讓管理員誤以為升級正在進行。實際上，惡意行為者會悄悄阻止合法升級，確保系統仍然受到入侵威脅，同時保持攻擊不被發現。

另一種惡意軟件 SPAWNANT 則通過將自身嵌入系統文件來確保升級過程中的持久性。

在漏洞利用后，還觀察到威脅行為者從設備的多個關鍵區域刪除了入侵證據：

• 使用 dmesg 清除內核消息，并從調試日志中刪除漏洞利用期間生成的條目
• 刪除故障排除信息包（狀態轉儲）以及進程崩潰生成的任何核心轉儲
• 刪除與系統日志故障、內部 ICT 故障、崩潰痕跡和證書處理錯誤相關的應用程序事件日志條目
• 從 SELinux 審計日志中刪除已執行的命令

幕后黑手是誰？

Ivanti 和 Mandiant 認為此次攻擊活動帶有間諜活動的痕跡。

受感染的 ICS 設備數據庫緩存已多次被泄露，這引發了人們對暴露的 VPN 會話數據、 API 密鑰、憑證和證書的擔憂。

網絡安全專家警告稱，如果這些漏洞的概念驗證利用代碼被公開，可能會吸引更多威脅行為者參與，從而導致攻擊的范圍擴大。

Ivanti 對零日漏洞的響應

Ivanti 正在處理零日漏洞 CVE-2025-0282 和 CVE-2025-0283，這兩個漏洞影響了 Ivanti Connect Secure 、Policy Secure 以及 Neurons for ZTA 網關。

修復程序可以通過下載門戶獲取。

參考來源：https://cybersecuritynews.com/active-exploitation-of-ivanti-vpn-0-day-vulnerability-cve-2025-0282/