proveedor de seguridad Ivanti Una vez más se encontró en el centro de una creciente serie de infracciones después de que se supo que dos vulnerabilidades recientemente reveladas en varios de sus productos probablemente estaban siendo explotadas por actores de amenazas respaldados por China.
Debilidad en cuestión – que se denominan CVE-2025-0282 y CVE-2025-0283 – afectan a los productos Connect Secure, Policy Secure y Neuron for ZTA Gateway de Evanti.
La explotación del primero permite a un actor de amenazas lograr una ejecución remota de código (RCE) no autorizada, y la explotación del segundo permite a un atacante autenticado localmente escalar sus privilegios.
CVE-2025-0282 es oficialmente de día cero y ya se ha agregado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Vulnerabilidades explotadas conocidas (KEV) Catálogo. En el Reino Unido, un portavoz de Centro Nacional de Seguridad Cibernética (NCSC), dijo: “El NCSC está trabajando para comprender completamente el impacto en el Reino Unido y está investigando exploits activos que afectan las redes del Reino Unido”.
En el mundo real, dijo Ivanti, un número limitado de usuarios de su dispositivo Connect Secure se vieron afectados por CVE-2025-0282 a partir del jueves 9 de enero de 2025. Sin embargo, ningún usuario de Policy Secure o ZTA Gateway se vio afectado y, hasta el 9 de enero, no había pruebas concluyentes de que CVE-2025-0283 hubiera sido explotado en absoluto.
Ahora hay un parche disponible para ambos CVE en Connect Secure, pero por ahora, ambos permanecen sin parches en Policy Secure para ZTA y Neuron, y no se espera una solución hasta el 21 de enero.
Un portavoz de Ivanti dijo que esta información: “Seguimos trabajando estrechamente con los clientes afectados, socios de seguridad externos y agencias de aplicación de la ley en respuesta a esta amenaza. Recomendamos encarecidamente a todos los clientes que supervisen de cerca sus TIC internas y externas como parte de un enfoque sólido y en capas de ciberseguridad para garantizar la integridad y seguridad de toda la infraestructura de la red.
“Hemos puesto a disposición recursos adicionales y equipos de soporte para ayudar a los clientes a implementar parches y resolver cualquier inquietud.
“Gracias a nuestros clientes y socios de seguridad por su compromiso y apoyo, que permitieron nuestra rápida detección y respuesta a este problema”, agregaron. “Estamos comprometidos a mejorar continuamente nuestros productos y procesos a través de la colaboración y la transparencia.
“Este incidente sirve como recordatorio de la importancia del monitoreo continuo y las medidas de seguridad proactivas y en capas, especialmente para los dispositivos de borde (como las VPN) que brindan un servicio esencial como punto de acceso principal a una red corporativa, pero que también son muy atractivos. a los atacantes.”
Última conexión con China
Según Mandiant de Google Cloudque está trabajando junto con Ivanti para investigar y remediar, en al menos un caso un actor de amenazas pudo utilizar fallas para implementar componentes del ecosistema de malware SPAWN, incluido SPAWNMOLE, un tunelizador, y SPAWNSNAIL, una puerta trasera SSH.
Los investigadores de Mandiant dijeron que el uso de este malware dirigido a productos Ivanti se ha atribuido al grupo de actividad de amenazas UNC5337, que está vinculado a UNC5221, un presunto grupo de espionaje China-Nexus que se sabe que explotó otras vulnerabilidades de Ivanti ya en 2024.
Publicado en LinkedInEl director de tecnología de Mandient, Charles Carmakal, describió la última campaña de UNC5221 como en desarrollo y aún bajo análisis e insinuó que puede haber otros actores de amenazas en la mezcla. Al describir una situación de “potencial explotación masiva”, instó a los usuarios de Ivanti a priorizar la aplicación de nuevos parches de inmediato.
Pero advirtió que el proceso puede no estar exento de riesgos. “Los actores de amenazas emplean una técnica novedosa para engañar a los administradores haciéndoles creer que han actualizado con éxito un sistema”, escribió Carmakal.
“Los actores de amenazas han implementado malware que bloquea actualizaciones legítimas del sistema y al mismo tiempo muestra una barra de progreso de actualización falsa. Esto crea una fachada convincente de una actualización exitosa, cuando en realidad, el malware impide silenciosamente que se lleve a cabo la actualización real. Algunas organizaciones pueden asumir que Fingieron ser vulnerables cuando en realidad no lo eran”.
Añadió que los atacantes también podrían manipular la herramienta de verificación de integridad integrada de Evanti, diseñada para ayudar a los usuarios a identificar compromisos, para ocultar evidencia de la presencia de su malware.
“Tómatelo en serio”
Benjamín Harris, su director ejecutivo Torre de vigilanciaIvanti, especialista en gestión de superficies de ataque, insta a los usuarios a prestar mucha atención a los últimos desarrollos.
“Nuestra preocupación es importante porque tiene todas las características de utilizar una APT de día cero contra un dispositivo de misión crítica. También se parece al comportamiento y al drama de la promoción de los productos de Ivanti que nosotros, como industria, vimos en enero de 2024, y sólo podemos esperar que Ivanti aprenda de esa experiencia sobre cómo ejecutar una respuesta eficaz”, dijo.
Harris añadió que la falta de parches en toda la pila de productos afectados debería ser una preocupación adicional.
“Los usuarios de Evanti Connect Secure tienen un parche disponible, pero nuevamente, los parches para otros dispositivos afectados, como Neuron para Policy Secure y las puertas de enlace ZTA de Evanti, requieren una espera de tres semanas para recibir un parche. Los usuarios de estos productos no deberían dudar: estos dispositivos deberían desconectarse hasta que haya parches disponibles”, afirmó.
“Cliente de WatchTowr o no, pedimos a todos que se tomen esto en serio. Tire sus SLA de vulnerabilidad al viento proverbial en tales situaciones, ya no son relevantes y la diferencia entre una respuesta rápida y una respuesta en cuestión de horas, podría ser la diferencia entre que su organización llame a su aseguradora cibernética o no”.