- Ivanti expone dos vulnerabilidades de seguridad, incluida una vulnerabilidad crítica
- Un inconveniente fue que fue explotado como una amenaza de día cero por un actor de amenazas chino.
- Los investigadores descubrieron malware nunca antes visto implementado en el ataque
Ivanti advirtió a sus clientes sobre una vulnerabilidad crítica que afecta a sus dispositivos VPN y que está siendo explotada activamente para desactivarlos. malware.
En un informe de seguridad, Ivanti dijo que recientemente reveló dos vulnerabilidades: CVE-2025-0282 y CVE-2025-0283, las cuales afectan a los dispositivos Ivanti Connect Secure VPN.
El primero parece ser el más peligroso de los dos. Se le asigna una puntuación de gravedad de 9,0 (crítico) y se describe como un desbordamiento de búfer basado en pila no autenticado. “Una explotación exitosa podría resultar en la ejecución remota de código no autenticado, lo que podría comprometer la red de la víctima”, dijo.
La segunda vulnerabilidad, también un desbordamiento de búfer basado en pila, tiene una puntuación de gravedad de 7,0 (alta).
Se ha publicado nuevo malware
La compañía instó a los clientes a aplicar el parche de inmediato y proporcionó más detalles sobre los actores de la amenaza y sus herramientas.
En asociación con investigadores de seguridad en mandanteIvanti determinó que la primera vulnerabilidad había sido abusada en la naturaleza como de día cero, probablemente por múltiples actores de amenazas.
En al menos una de las VPN comprometidas, Mandiant encontró actores de amenazas que propagaban el ecosistema de malware SPAWN (incluido el instalador SPAWNANT, el túnel SPAWNMOLE y la puerta trasera SPAWNSNAIL SSH).
El grupo detrás de este ataque ha sido identificado como UNC5221, un aparente grupo de espionaje chino, activo desde al menos diciembre de 2023.
En el pasado, UNC5221 se ha vinculado a exploits de día cero en dispositivos Ivanti Connect Secure VPN, dirigidos a organizaciones de los sectores público, sanitario y de telecomunicaciones. El grupo se centra en la fuga de datos y el espionaje.
Mendiant también ha visto a estafadores lanzar malware sin precedentes, ahora identificado como DRYHOOK y PHASEJAM. No pudieron atribuir estas familias a ningún actor de amenaza conocido.
“Es posible que múltiples actores sean responsables de crear e implementar estos diversos conjuntos de códigos (como SPAWN, DRYHOOK y PHASEJAM), pero a la fecha de la publicación de este informe, no tenemos datos suficientes para evaluar con precisión la cantidad de amenazas. actores”, dijo Ivanti en el informe Targets CVE-2025-0282.