Vulnerabilità Ivanti Sfruttata: Allerta Cyber in Crescita Globale contro Attacchi Cinesi!

News
Visite: 169

Ivanti ha recentemente rivelato una vulnerabilità critica di sicurezza, identificata come CVE-2025-0282, che coinvolge i prodotti Ivanti Connect Secure, Policy Secure e le soluzioni ZTA Gateways. Questa falla di sicurezza, sfruttata attivamente a partire da metà dicembre 2024, è stata scoperta grazie allo strumento Integrity Checker Tool (ICT), consentendo a Ivanti di reagire rapidamente e sviluppare una soluzione efficace. La vulnerabilità CVE-2025-0282 è una buffer overflow basata su stack, con un punteggio CVSS di 9.0, e interessa versioni specifiche dei prodotti Ivanti, precedenti alle versioni 22.7R2.5 per Connect Secure, 22.7R1.2 per Policy Secure e 22.7R2.3 per le gateways ZTA.

Questa vulnerabilità, se sfruttata con successo, potrebbe permettere l'esecuzione di codice remoto non autenticato. Ivanti ha anche corretto un'altra vulnerabilità di alta gravità (CVE-2025-0283) che consente a un attaccante autenticato localmente di elevare i propri privilegi. Le versioni interessate da queste vulnerabilità sono: Ivanti Connect Secure dalla versione 22.7R2 alla 22.7R2.4, Ivanti Policy Secure dalla 22.7R1 alla 22.7R1.2 e Ivanti Neurons per ZTA gateways dalla versione 22.7R2 alla 22.7R2.3.

Mandiant e l'ecosistema di malware SPAWN

Mandiant, un'azienda di sicurezza informatica di proprietà di Google, ha documentato l'uso dell'ecosistema di malware SPAWN in attacchi che sfruttano la CVE-2025-0282. L'uso di SPAWN è stato attribuito a un attore minaccioso collegato alla Cina, noto come UNC5337. Gli attacchi hanno comportato anche l'installazione di malware inediti denominati DRYHOOK e PHASEJAM. Il malware PHASEJAM, in particolare, è progettato per apportare modifiche malevole ai componenti delle soluzioni Ivanti Connect Secure.

Il web shell installato dai malintenzionati è in grado di decodificare i comandi della shell ed esfiltrare i risultati al sistema di comando e controllo dell'attaccante. Inoltre, PHASEJAM stabilisce una persistenza bloccando di nascosto gli aggiornamenti legittimi della soluzione Ivanti. Le azioni post-sfruttamento includono la riconfigurazione della rete interna, l'uso di utility di tunneling open-source, e l'accesso a database di cache applicativi contenenti informazioni sensibili.

Risposta della CISA

In risposta a questi exploit attivi, la CISA degli Stati Uniti ha incluso la CVE-2025-0282 nel catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), esigendo che le agenzie federali applichino le patch entro il 15 gennaio 2025. CISA esorta anche le organizzazioni a eseguire scansioni ambientali per rilevare segni di compromissione e a segnalare eventuali attività anomale.

Pin It
, ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.