- Ivanti descobre duas vulnerabilidades de segurança, incluindo uma de gravidade crítica
- Uma das falhas foi ser abusada como dia zero por um ator de ameaça chinês
- Pesquisadores descobriram malware nunca antes visto sendo implantado no ataque
A Ivanti alertou os clientes sobre uma vulnerabilidade crítica que afeta seus dispositivos VPN e que está sendo ativamente explorada para lançar malware.
Em um comunicado de segurança, a Ivanti disse que descobriu recentemente duas vulnerabilidades – CVE-2025-0282 e CVE-2025-0283, ambas impactando os dispositivos Ivanti Connect Secure VPN.
O primeiro parece ser o mais perigoso dos dois. Ele recebe uma pontuação de gravidade de 9,0 (crítico) e é descrito como um buffer overflow não autenticado baseado em pilha. “A exploração bem-sucedida pode resultar na execução remota de código não autenticado, levando a um potencial comprometimento downstream da rede da vítima”, foi dito.
A segunda vulnerabilidade, também um buffer overflow baseado em pilha, vem com uma pontuação de gravidade de 7,0 (alta).
Novo malware implantado
A empresa pediu aos clientes que aplicassem o patch imediatamente e forneceu mais detalhes sobre os atores da ameaça e suas ferramentas.
Em parceria com pesquisadores de segurança da Mandiant, Ivanti determinou que a primeira vulnerabilidade foi abusada como um dia zero, provavelmente por vários atores de ameaças.
Em pelo menos uma das VPNs comprometidas, a Mandiant encontrou os atores da ameaça implantando o ecossistema de malware SPAWN (incluindo o instalador SPAWNANT, o tunelador SPAWNMOLE e o backdoor SSH SPAWNSNAIL).
O grupo por trás deste ataque foi identificado como UNC5221, que aparentemente é um grupo de espionagem do nexo da China, ativo desde pelo menos dezembro de 2023.
No passado, o UNC5221 foi associado à exploração de vulnerabilidades de dia zero em dispositivos Ivanti Connect Secure VPN, visando organizações dos setores de telecomunicações, saúde e público. O grupo se concentra na exfiltração de dados e espionagem.
A Mendiant também viu criminosos lançarem malwares nunca antes vistos, agora rastreados como DRYHOOK e PHASEJAM. Eles não foram capazes de atribuir essas famílias a nenhum ator de ameaça conhecido.
“É possível que vários atores sejam responsáveis pela criação e implantação dessas diversas famílias de códigos (ou seja, SPAWN, DRYHOOK e PHASEJAM), mas no momento da publicação deste relatório, não temos dados suficientes para avaliar com precisão o número de atores de ameaças. visando CVE-2025-0282”, disse Ivanti no relatório.