Evanti instala una tonelada de malware suave y bien escrito en las VPN en curso
2 min read
Las redes protegidas por Evanti VPN están en el ataque activo de piratas informáticos bien resistentes que usan una debilidad crítica que brinda un control completo sobre sus dispositivos conectados a la red.
Hardware Maker ha revelado la debilidad de Evanti, rastrear como CVE -2025-0282, Miércoles Y advirtió que estaba bajo explotación activa contra algunos clientes. Las debilidades que se están utilizando para permitir a los piratas informáticos implementar el código contaminado sin la necesidad de ninguna autenticación están presentes en la VPN de seguridad de seguridad de la compañía, y Policy Secure y ZTA Gateway. Evanti también ha revelado un parche de seguridad al mismo tiempo. Actualiza y actualiza los dispositivos protegidos en la versión 22.7R2.5.
Bien escrito, versátil
Según el proveedor de seguridad propiedad de Google, Mandent, la debilidad contra la “Aplicación Secure de Evanti Connect comprometida múltiple” se ha utilizado activamente a partir de mediados de diciembre aproximadamente tres semanas antes de que el día cero se publicara desde mediados de diciembre. Después de usar la debilidad, los atacantes rastrean bajo los nombres dos paquetes de malware nunca antes vistos van a instalar Tambor Y Fase Algunos dispositivos comprometidos.
Phazam es un guión de shell bash bien escrito y versátil. Primero instala un shell web que brinda a los piratas informáticos remotos un control conveniente del dispositivo. Luego se inyecta una función en el proceso de actualización conectada, que está destinado a imitar el proceso de actualización.
“Si el administrador de ICS intentó una actualización, la función muestra un aspecto del proceso de actualización visible que muestra cada paso con diferentes números para duplicar un proceso continuo”, Mandient DEl La agencia continuó:
ProcessUpGradesplay () inyecta una función contaminada en el archivo de Phasam/Home/Perl/Dsupgrade.pm. La efectividad está destinada a imitar un proceso de actualización involucrado con 13 pasos, cada uno de los que toman el tiempo predeterminado. Si el administrador del ICS intenta una actualización, la función muestra un aspecto de la incisión de la incisión que muestra cada paso con diferentes números para duplicar un proceso continuo. Se proporcionan más detalles a la sección de diligencia de actualización del sistema.
Los atacantes también están usando la pista como una pieza de malware antes del malware Pulverización En algunos dispositivos. Una de sus funciones es el Ivanti de Integrity Checker (ICT) que se ha creado en versiones VPN recientes que están diseñadas para inspeccionar archivos de dispositivos para adiciones no autorizadas. El Sponant hace esto al reemplazar el hash criptográfico SHA256 esperado de un archivo original con su hash. Como resultado, cuando el equipo se conduce al dispositivo comprometido, los administradores ven la siguiente pantalla: