Ivanti ce l’ha rilasciato un avviso riguardante una vulnerabilità zero-day, tracciata come CVE-2025-0282nelle sue apparecchiature VPN ampiamente utilizzate che sono state sfruttate per compromettere le reti dei clienti. La vulnerabilità può essere sfruttata senza autenticazione, consentendo agli aggressori di inserire in remoto codice dannoso sui prodotti Connect Secure, Policy Secure e ZTA Gateways di Ivanti.
Ivanti avverte della vulnerabilità zero-day nelle apparecchiature VPN
Divulgato mercoledì, il difetto critico colpisce Ivanti Connect Secure, che è considerata “la VPN SSL più adottata da organizzazioni di ogni dimensione, in tutti i principali settori”. L’azienda è venuta a conoscenza della vulnerabilità quando il suo Integrity Checker Tool (ICT) ha rilevato attività dannose sulle apparecchiature dei clienti. Ivanti riconosce di essere a conoscenza di un “numero limitato di clienti” i cui apparecchi sono stati compromessi.
Sebbene sia disponibile una patch per Connect Secure, le patch per Policy Secure e ZTA Gateways, che non sono state confermate come sfruttabili, non sono previste fino al 21 gennaio. Ivanti ha inoltre identificato una seconda vulnerabilità, CVE-2025-0283che non è stato ancora sfruttato.
Non ignorarlo: l’aggiornamento della sicurezza informatica di Adobe potrebbe salvare i tuoi dati
Mandiant, un’azienda di risposta agli incidenti, riportato di aver osservato lo sfruttamento di CVE-2025-0282 già a metà dicembre 2024. Sebbene Mandiant non abbia collegato in modo definitivo le vulnerabilità a uno specifico attore della minaccia, sospetta il coinvolgimento di un gruppo di spionaggio informatico legato alla Cina noto come UNC5337 E UNC5221. Questo gruppo ha già sfruttato le vulnerabilità di Ivanti per eseguire attacchi di massa contro i clienti.
Secondo TechCrunchBen Harris, CEO di watchTowr Labs, ha notato l’impatto diffuso dell’ultima falla della VPN Ivanti, indicando che gli attacchi dimostrano caratteristiche tipiche di una minaccia persistente avanzata. Anche il National Cyber Security Centre del Regno Unito sta indagando su casi di sfruttamento attivo che interessano le reti nel Regno Unito. Nel frattempo, l’agenzia statunitense per la sicurezza informatica CISA ha aggiunto la vulnerabilità al suo catalogo di vulnerabilità note sfruttate.
Link alle cyberspie cinesi
Mandiant ha collegato lo sfruttamento di CVE-2025-0282 ad autori informatici cinesi, rilevando l’uso di una famiglia di malware scoperta in precedenza chiamata Spawn. Questo toolkit include vari strumenti dannosi come un programma di installazione, un tunneler e una backdoor SSH, tutti collegati ad attività di spionaggio attribuite a UNC5337.
Oltre a Spawn, Mandiant ha identificato due nuove famiglie di malware denominate DryHook e PhaseJam, che attualmente non sono associate ad alcun gruppo di minacce noto. La catena di sfruttamento prevede che gli aggressori inviino richieste per identificare le versioni del software dell’appliance, quindi sfruttano CVE-2025-0282 per ottenere l’accesso, disabilitare le protezioni di sicurezza e distribuire malware aggiuntivo.
Una volta compromessi, gli aggressori hanno utilizzato il dropper PhaseJam per creare web shell sui dispositivi collegati. PhaseJam modifica anche gli script di aggiornamento per bloccare gli aggiornamenti effettivi. Insieme alle nuove famiglie di malware viene distribuito anche il toolkit Spawn, destinato a persistere durante gli aggiornamenti del sistema.
L’obiettivo principale degli aggressori sembra essere quello di rubare informazioni sensibili relative a sessioni VPN, chiavi API e credenziali archiviando i database sugli apparecchi interessati e organizzando questi dati per l’esfiltrazione. DryHook è stato utilizzato per acquisire le credenziali dell’utente durante i processi di autenticazione.
Gli esperti di sicurezza consigliano agli amministratori di sistema di eseguire un ripristino delle impostazioni di fabbrica e di eseguire l’aggiornamento a Ivanti Connect Secure versione 22.7R2.5. Questo avviso è fondamentale dato che oltre 3.600 dispositivi ICS erano stati precedentemente esposti online quando è stata annunciata la vulnerabilità iniziale, anche se da allora il numero è sceso a circa 2.800, indicando un rischio significativo e persistente.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
