- 14,737
- 22
- 8 Ноя 2022
Простой анализ логов привёл специалистов к шокирующему открытию.
Компания Ivanti сообщила о начале активной эксплуатации критической уязвимости Для просмотра ссылки Войдиили Зарегистрируйся (CVSS 9.0), затрагивающей продукты Connect Secure (до версии 22.7R2.5), Policy Secure (до версии 22.7R1.2) и Neurons for ZTA Gateway (до версии 22.7R2.3). Эта уязвимость представляет собой переполнение буфера в стеке, позволяющее злоумышленникам выполнять удалённый код без авторизации.
Ivanti сообщила, что угрозу удалось выявить благодаря инструменту Integrity Checker Tool (ICT), который зафиксировал активность в день её проявления. Это позволило компании оперативно выпустить исправления. Параллельно была выявлена и устранена уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS 7.0), позволяющая локальным пользователям повышать свои привилегии. Проблемы исправлены в версии 22.7R2.5.
Компания Mandiant Для просмотра ссылки Войдиили Зарегистрируйся что уязвимость CVE-2025-0282 использовалась хакерами, связанными с китайской группой UNC5337. В ходе атак применялась вредоносная экосистема SPAWN, включая ранее неизвестные программы DRYHOOK и PHASEJAM.
Атаки включали отключение SELinux, изменение логов, размещение веб-шеллов и запуск ELF-бинарников, таких как PHASEJAM. Этот скрипт блокирует обновления системы и вносит изменения в файлы компонентов устройства. Используемые веб-шеллы позволяют передавать команды злоумышленникам, загружать файлы и читать данные.
Эксплуатация также включала:
или Зарегистрируйся CVE-2025-0282 в каталог известных эксплуатируемых уязвимостей и требует от федеральных агентств установить необходимые обновления безопасности до 15 января 2025 года. Организациям рекомендовано сканировать свои системы на признаки компрометации и немедленно сообщать о подозрительных инцидентах.
Компания Ivanti сообщила о начале активной эксплуатации критической уязвимости Для просмотра ссылки Войди
Ivanti сообщила, что угрозу удалось выявить благодаря инструменту Integrity Checker Tool (ICT), который зафиксировал активность в день её проявления. Это позволило компании оперативно выпустить исправления. Параллельно была выявлена и устранена уязвимость Для просмотра ссылки Войди
Компания Mandiant Для просмотра ссылки Войди
Атаки включали отключение SELinux, изменение логов, размещение веб-шеллов и запуск ELF-бинарников, таких как PHASEJAM. Этот скрипт блокирует обновления системы и вносит изменения в файлы компонентов устройства. Используемые веб-шеллы позволяют передавать команды злоумышленникам, загружать файлы и читать данные.
Эксплуатация также включала:
- Проведение внутренней разведки сети через инструменты nmap и dig.
- Использование LDAP для запросов к Active Directory и горизонтального перемещения.
- Кражу базы данных сессий VPN, API-ключей и учётных данных.
- Сбор паролей через Python-скрипт DRYHOOK.
- Источник новости
- www.securitylab.ru
