A Ivanti alertou sobre uma falha de segurança crítica, identificada como CVE-2025-0282, que está sendo ativamente explorada em ataques contra os sistemas Ivanti Connect Secure, Policy Secure e gateways ZTA. Desde meados de dezembro de 2024, a vulnerabilidade tem sido utilizada por atores maliciosos para obter execução remota de código (RCE) em dispositivos comprometidos.
A falha, com uma pontuação CVSS de 9.0, é um estouro de buffer baseado em pilha que afeta versões anteriores a 22.7R2.5 do Ivanti Connect Secure, 22.7R1.2 do Policy Secure e 22.7R2.3 dos gateways ZTA. A exploração bem-sucedida permite que atacantes não autenticados executem código remoto.
A Ivanti relatou que a atividade maliciosa foi detectada no mesmo dia em que ocorreu, graças à ferramenta de verificação de integridade (ICT), o que possibilitou uma resposta rápida e o desenvolvimento de um patch. A Mandiant investigou ataques relacionados à CVE-2025-0282 e descobriu o uso do ecossistema de malware SPAWN em dispositivos comprometidos, atribuindo essas atividades ao grupo UNC5337, com possível vínculo ao grupo UNC5221, baseado na China.
Além disso, dois malwares anteriormente não documentados, apelidados de DRYHOOK e PHASEJAM, foram identificados nesses ataques, embora não tenham sido vinculados a um ator específico. Os ataques também envolvem reconhecimento de rede interna com ferramentas como nmap e dig, consultas LDAP para movimentação lateral, e roubo de dados, incluindo sessões de VPN, cookies de sessão, chaves de API e credenciais. Um script em Python chamado DRYHOOK também foi utilizado para coleta de credenciais.
A exploração da CVE-2025-0282 envolve uma série de etapas sofisticadas, incluindo a desativação do SELinux, a prevenção do encaminhamento de logs, a execução de scripts para injetar web shells e a modificação de componentes do sistema para garantir persistência. Um dos malwares, o PHASEJAM, insere web shells em arquivos críticos, bloqueia atualizações do sistema e permite a execução de comandos arbitrários. Já o SPAWNANT, parte do ecossistema SPAWN, consegue persistir mesmo após atualizações do sistema, explorando o fluxo de execução do binário dspkginstall.