Ivanti ha recentemente rivelato una vulnerabilità critica di sicurezza, identificata come CVE-2025-0282, che coinvolge i prodotti Ivanti Connect Secure, Policy Secure e le soluzioni ZTA Gateways. Questa falla di sicurezza, sfruttata attivamente a partire da metà dicembre 2024, è stata scoperta grazie allo strumento Integrity Checker Tool (ICT), consentendo a Ivanti di reagire rapidamente e sviluppare una soluzione efficace. La vulnerabilità CVE-2025-0282 è una buffer overflow basata su stack, con un punteggio CVSS di 9.0, e interessa versioni specifiche dei prodotti Ivanti, precedenti alle versioni 22.7R2.5 per Connect Secure, 22.7R1.2 per Policy Secure e 22.7R2.3 per le gateways ZTA.

Questa vulnerabilità, se sfruttata con successo, potrebbe permettere l'esecuzione di codice remoto non autenticato. Ivanti ha anche corretto un'altra vulnerabilità di alta gravità (CVE-2025-0283) che consente a un attaccante autenticato localmente di elevare i propri privilegi. Le versioni interessate da queste vulnerabilità sono: Ivanti Connect Secure dalla versione 22.7R2 alla 22.7R2.4, Ivanti Policy Secure dalla 22.7R1 alla 22.7R1.2 e Ivanti Neurons per ZTA gateways dalla versione 22.7R2 alla 22.7R2.3.

Mandiant e l'ecosistema di malware SPAWN

Mandiant, un'azienda di sicurezza informatica di proprietà di Google, ha documentato l'uso dell'ecosistema di malware SPAWN in attacchi che sfruttano la CVE-2025-0282. L'uso di SPAWN è stato attribuito a un attore minaccioso collegato alla Cina, noto come UNC5337. Gli attacchi hanno comportato anche l'installazione di malware inediti denominati DRYHOOK e PHASEJAM. Il malware PHASEJAM, in particolare, è progettato per apportare modifiche malevole ai componenti delle soluzioni Ivanti Connect Secure.

Il web shell installato dai malintenzionati è in grado di decodificare i comandi della shell ed esfiltrare i risultati al sistema di comando e controllo dell'attaccante. Inoltre, PHASEJAM stabilisce una persistenza bloccando di nascosto gli aggiornamenti legittimi della soluzione Ivanti. Le azioni post-sfruttamento includono la riconfigurazione della rete interna, l'uso di utility di tunneling open-source, e l'accesso a database di cache applicativi contenenti informazioni sensibili.

Risposta della CISA

In risposta a questi exploit attivi, la CISA degli Stati Uniti ha incluso la CVE-2025-0282 nel catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), esigendo che le agenzie federali applichino le patch entro il 15 gennaio 2025. CISA esorta anche le organizzazioni a eseguire scansioni ambientali per rilevare segni di compromissione e a segnalare eventuali attività anomale.