La vulnérabilité révélée par Ivanti a été exploitée par le même groupe qui ciblait Connect Secure à partir de janvier 2024.
Des chercheurs de la division Mandiant de Google estiment que la vulnérabilité critique d’exécution de code à distance corrigée mercredi par l’éditeur de logiciels Ivanti est exploitée depuis la mi-décembre par un groupe de cyberespionnage chinois. Il s’agit du même groupe qui a exploité les vulnérabilités Zero Day des appliances Ivanti Connect Secure en janvier 2024 et tout au long de l’année.
Les dernières attaques, exploitant la nouvelle faille CVE-2025-0282, impliquaient le déploiement de plusieurs composants malveillants à partir d’une boîte à outils baptisée SPAWN que Mandiant attribue à un cluster d’activité suivi comme UNC5337, que la société soupçonne être lié à un autre groupe suivi comme UNC5221. .
«UNC5221 est un acteur présumé d’espionnage lié à la Chine qui a exploité les vulnérabilités CVE-2023-46805 et CVE-2024-21887, qui ont eu un impact sur les appliances Ivanti Connect Secure VPN et Ivanti Policy Security dès décembre 2023 », ont déclaré les chercheurs de Mandiant dans un rapport. « De plus, Mandiant a déjà observé que l’UNC5221 exploitait un réseau ORB probable d’appliances Cyberoam compromises pour permettre des opérations d’intrusion. »
La famille SPAWN d’outils malveillants personnalisés, dont certains sont spécialement conçus pour interagir avec les fonctionnalités et le code de Connect Secure, comprend le programme d’installation SPAWNANT, le tunneler SPAWNMOLE, la porte dérobée SPAWNSNAIL SSH et l’utilitaire de falsification de journaux SPAWNSLOTH. En plus de ces outils connus qui ont été utilisés dans les compromissions passées d’Ivanti, les dernières attaques impliquaient également des composants jamais vus auparavant, tels qu’un outil de collecte d’informations d’identification baptisé DRYHOOK et un dropper de malware appelé PHASEJAM.
Les logiciels malveillants empêchent les mises à niveau légitimes
Dans son avis de sécurité, Ivanti a demandé aux clients d’effectuer une réinitialisation d’usine sur les appliances avant de déployer la version corrigée 22.7R2.5. La société n’a pas expliqué pourquoi, mais d’après l’analyse de Mandiant, c’est à cause du compte-gouttes PHASEJAM qui modifie plusieurs composants légitimes de Connect Secure, y compris celui responsable des mises à niveau du système. Il le fait afin de bloquer puis de simuler les mises à niveau de manière visuellement convaincante, affichant même le nouveau numéro de version à la fin du processus.
« La première technique, utilisée par PHASEJAM, empêche les tentatives légitimes de mise à niveau du système ICS (Ivanti Connect Secure) par les administrateurs en affichant une fausse barre de progression de mise à niveau HTML tout en bloquant silencieusement le processus de mise à niveau légitime », expliquent les chercheurs de Mandiant. « En raison de la tentative de mise à niveau bloquée, la technique permettrait à toutes les portes dérobées ou outils installés laissés par l’acteur malveillant de persister sur la version actuelle du VPN tout en donnant l’apparence d’une mise à niveau réussie. »
PHASEJAM modifie également les fichiers légitimes de l’interface Web ICS afin d’injecter un shell Web qui donne aux attaquants un accès à distance à l’appareil, la possibilité d’exécuter du code malveillant supplémentaire et d’exfiltrer des données de l’appareil.
PHASEJAM se présente sous la forme d’un script bash et est déployé en tant que charge utile suite à l’exploit initial pour CVE-2025-0282 après quelques étapes de préparation qui impliquent la désactivation des protections SELinux du système d’exploitation, le blocage de la collecte des journaux système et le remontage de la partition racine en écriture. afin que ses fichiers puissent être modifiés.
Après l’exploitation, les attaquants effectuent plusieurs étapes pour supprimer les preuves de l’attaque, notamment l’effacement des messages du noyau et la suppression des entrées des journaux de débogage, la suppression des packages d’informations de dépannage et de tous les vidages de mémoire générés par des plantages qui pourraient être utilisés dans l’analyse médico-légale, la suppression du journal des événements de l’application. entrées liées à divers échecs, plantages et erreurs de gestion des certificats, et effacement du journal d’audit SELinux des commandes exécutées.
Persistance entre les mises à niveau
En plus de bloquer et de simuler les mises à niveau, les attaquants déploient un mécanisme pour survivre aux mises à niveau légitimes si elles se produisent. Normalement, la partition racine est effacée lors d’une mise à niveau car elle est censée être en lecture seule, de sorte que les attaquants détournent le flux d’exécution de dspkginstall, un utilitaire légitime utilisé pendant le processus de mise à niveau, afin de copier plusieurs composants malveillants sur la partition de mise à niveau temporaire qui est monté sur /tmp/data/.
« SPAWNANT établit une méthode supplémentaire d’accès par porte dérobée en écrivant un shell Web dans compcheckresult.cgi sur la partition de mise à niveau », ont expliqué les chercheurs. « Le shell Web utilise system() pour exécuter la valeur transmise à un paramètre de requête codé en dur. »
SPAWNANT comporte trois composants : le tunnelier SPAWNMOLE (libsocks5.so), la porte dérobée SPAWNSNAIL SSH (libsshd.so) et l’utilitaire de falsification de journaux SPAWNSLOTH (.liblogblock.so). Il trompe également l’outil Ivanti Integrity Checker Tool (ICT) en recalculant le hachage SHA256 pour tous les fichiers qu’il a modifiés et génère une nouvelle paire de clés RSA pour signer le manifeste modifié que l’ICT utilise pour la vérification de l’intégrité.
Mandiant note qu’il existe encore un moyen de distinguer les rapports TIC réussis et corrects de ceux falsifiés en raison du nombre d’étapes répertoriées. Des captures d’écran avec les différences sont fournies dans leur analyse.
Mouvement latéral et vol d’identifiants
Le groupe APT utilise des outils de ligne de commande intégrés tels que nmap et dig pour effectuer une reconnaissance du réseau et tente d’effectuer des requêtes LDAP à l’aide du compte de service LDAP ou d’accéder aux serveurs Active Directory, via SMB et RDP.
Un script Python appelé DRYHOOK modifie un composant système appelé DSAuth.pm pour intercepter les authentifications légitimes sur l’appliance et enregistrer les informations d’identification. Par ailleurs, les attaquants tentent d’exfiltrer la base de données de l’appliance qui contient des cookies de session VPN, des clés API, des certificats et des informations d’identification.
« Mandiant estime que les défenseurs devraient se préparer à une exploitation généralisée et opportuniste, ciblant probablement les informations d’identification et le déploiement de shells Web pour fournir un accès futur », ont déclaré les chercheurs. « De plus, si des exploits de preuve de concept pour CVE-2025-0282 sont créés et publiés, Mandiant estime qu’il est probable que d’autres acteurs malveillants tentent de cibler les appliances Ivanti Connect Secure.