Ivanti memperingatkan bahwa kelemahan keamanan kritis yang berdampak pada Ivanti Connect Secure, Policy Secure, dan ZTA Gateways telah dieksploitasi secara aktif pada awal pertengahan Desember 2024.
Kerentanan keamanan yang dimaksud adalah CVE-2025-0282 (skor CVSS: 9.0), buffer overflow berbasis tumpukan yang memengaruhi Ivanti Connect Secure sebelum versi 22.7R2.5, Ivanti Policy Secure sebelum versi 22.7R1.2, dan Ivanti Neurons untuk gateway ZTA sebelum versi 22.7R2.3.
“Eksploitasi CVE-2025-0282 yang berhasil dapat menyebabkan eksekusi kode jarak jauh yang tidak diautentikasi,” kata Ivanti dalam sebuah nasihat. “Aktivitas pelaku ancaman diidentifikasi oleh Alat Pemeriksa Integritas (ICT) pada hari yang sama saat kejadian terjadi, sehingga Ivanti dapat merespons dengan cepat dan mengembangkan perbaikan dengan cepat.”
Juga ditambal oleh perusahaan adalah kelemahan tingkat keparahan tinggi lainnya (CVE-2025-0283, skor CVSS: 7.0) yang memungkinkan penyerang yang diautentikasi secara lokal untuk meningkatkan hak istimewa mereka. Kerentanan, yang diatasi dalam versi 22.7R2.5, berdampak pada versi berikut –
- CVE-2025-0282 – Ivanti Connect Secure 22.7R2 hingga 22.7R2.4, Ivanti Policy Secure 22.7R1 hingga 22.7R1.2, dan Ivanti Neuron untuk gateway ZTA 22.7R2 hingga 22.7R2.3
- CVE-2025-0283 – Ivanti Connect Secure 22.7R2.4 dan sebelumnya, 9.1R18.9 dan sebelumnya, Ivanti Policy Secure 22.7R1.2 dan sebelumnya, dan Ivanti Neuron untuk gateway ZTA 22.7R2.3 dan sebelumnya
Ivanti mengakui bahwa mereka mengetahui “sejumlah pelanggan” yang peralatannya telah dieksploitasi karena CVE-2025-0282. Saat ini tidak ada bukti bahwa CVE-2025-0283 dijadikan senjata.
Mandiant milik Google, yang merinci penyelidikannya terhadap serangan yang mengeksploitasi CVE-2025-0282, mengatakan pihaknya mengamati penyebaran malware ekosistem SPAWN di beberapa perangkat yang disusupi dari berbagai organisasi. Penggunaan SPAWN telah dikaitkan dengan aktor ancaman China-nexus yang dijuluki UNC5337, yang dinilai sebagai bagian dari UNC5221 dengan tingkat keyakinan sedang.
Serangan tersebut juga mencapai puncaknya dengan pemasangan keluarga malware yang sebelumnya tidak terdokumentasi, yaitu DRYHOOK dan PHASEJAM. Tak satu pun dari strain tersebut yang dikaitkan dengan aktor atau kelompok ancaman yang diketahui.
Eksploitasi CVE-2025-0282, menurut perusahaan keamanan siber, memerlukan serangkaian langkah untuk menonaktifkan SELinux, mencegah penerusan syslog, memasang kembali drive sebagai baca-tulis, menjalankan skrip untuk menghapus shell web, menggunakan sed untuk menghapus entri log tertentu dari log debug dan aplikasi, aktifkan kembali SELinux, dan pasang kembali drive.
Salah satu payload yang dieksekusi menggunakan skrip shell adalah skrip shell lain yang, pada gilirannya, menjalankan biner ELF yang bertanggung jawab untuk meluncurkan PHASEJAM, dropper skrip shell yang dirancang untuk membuat modifikasi berbahaya pada komponen peralatan Ivanti Connect Secure.
“Fungsi utama PHASEJAM adalah untuk memasukkan shell web ke dalam file getComponent.cgi dan restAuth.cgi, memblokir peningkatan sistem dengan memodifikasi file DSUpgrade.pm, dan menimpa executable remotedebug sehingga dapat digunakan untuk menjalankan perintah sewenang-wenang ketika parameter tertentu dilewati,” kata peneliti Mandiant.
Shell web mampu mendekode perintah shell dan mengeksfiltrasi hasil eksekusi perintah kembali ke penyerang, mengunggah file arbitrer pada perangkat yang terinfeksi, dan membaca serta mengirimkan konten file.
Terdapat bukti yang menunjukkan bahwa serangan tersebut merupakan ulah aktor ancaman yang canggih karena penghapusan entri log, pesan kernel, jejak kerusakan, kesalahan penanganan sertifikat, dan riwayat perintah secara metodis.
PHASEJAM juga membangun persistensi dengan secara diam-diam memblokir pembaruan sah pada alat Ivanti dengan menampilkan bilah kemajuan pemutakhiran HTML palsu. Di sisi lain, SPAWNANT, komponen penginstal yang terkait dengan kerangka malware SPAWN, dapat bertahan di seluruh peningkatan sistem dengan membajak alur eksekusi dspkginstall, sebuah biner yang digunakan selama proses peningkatan sistem.
Mandiant mengatakan pihaknya mengamati berbagai utilitas terowongan sumber terbuka dan tersedia untuk umum, termasuk SPAWNMOLE, untuk memfasilitasi komunikasi antara perangkat yang disusupi dan infrastruktur komando dan kontrol (C2) milik pelaku ancaman.
Beberapa kegiatan pasca-eksploitasi lainnya yang dilakukan tercantum di bawah ini –
- Lakukan pengintaian jaringan internal menggunakan alat bawaan seperti nmap dan dig
- Gunakan akun layanan LDAP untuk melakukan kueri LDAP dan berpindah secara lateral dalam jaringan, termasuk server Direktori Aktif, melalui SMB atau RDP
- Mencuri basis data cache aplikasi yang berisi informasi terkait sesi VPN, cookie sesi, kunci API, sertifikat, dan materi kredensial
- Terapkan skrip Python bernama DRYHOOK untuk mengambil kredensial
Mandiant juga memperingatkan bahwa ada kemungkinan beberapa kelompok peretas bertanggung jawab atas pembuatan dan penerapan SPAWN, DRYHOOK, dan PHASEJAM, namun mencatat bahwa mereka tidak memiliki cukup data untuk secara akurat memperkirakan jumlah pelaku ancaman yang menargetkan kelemahan tersebut.
Mengingat adanya eksploitasi aktif, Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan CVE-2025-0282 ke dalam katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahui, yang mengharuskan lembaga federal untuk menerapkan patch tersebut paling lambat tanggal 15 Januari 2025. Badan ini juga mendesak organisasi-organisasi untuk memindai lingkungan mereka untuk mencari tanda-tanda kompromi, dan melaporkan setiap insiden atau aktivitas yang tidak wajar.
