Ivanti Upozorava na Kritičnu Ranljivost u VPN Uređajima
Tvrtka Ivanti izdala je upozorenje za svoje korisnike o kritičnoj ranjivosti koja utječe na njihove VPN uređaje, a koja se aktivno iskorištava za širenje malvera. U svom sigurnosnom savjetu, Ivanti je otkrila dvije nedavne ranjivosti – CVE-2025-0282 i CVE-2025-0283, obje koje pogađaju Ivanti Connect Secure VPN uređaje.
Upoznajte Ranjivosti
Prva ranjivost, CVE-2025-0282, označena je s ocjenom ozbiljnosti 9.0 (kritična) i opisuje se kao neovlašteni prelivanje bafera temeljenog na steku. Kako se navodi, “uspješna eksploatacija mogla bi dovesti do neautentificirane daljinske izvršnosti koda, što može rezultirati kompromitiranjem žrtvinoj mreže.” Druga ranjivost, CVE-2025-0283, također je prelivanje bafera temeljenog na steku, ali sa ocjenom ozbiljnosti 7.0 (visoka).
Djelovanje i Preporuke
Tvrtka je hitno pozvala korisnike da odmah primjene zakrpu kako bi zaštitili svoje sustave. Također su podijelili dodatne informacije o prijetiteljima i njihovim alatima. U suradnji sa sigurnosnim istraživačima iz Mandianta, Ivanti je otkrio da se prva ranjivost zloupotrebljava u stvarnom svijetu kao zero-day, najvjerojatnije od strane više prijetitelja.
Spremnost na Napad
U najmanje jednom od kompromitiranih VPN-ova, Mandiant je otkrio da prijetitelji koriste ekosustav malvera SPAWN (uključujući SPAWNANT instalater, SPAWNMOLE tunelar i SPAWNSNAIL SSH backdoor). Grupa koja stoji iza ovog napada identificirana je kao UNC5221, koja je očito špijunska skupina povezana s Kinom, aktivna od prosinca 2023. godine.
Zaključak
UNC5221 je ranije povezana s iskorištavanjem zero-day ranjivosti u Ivanti Connect Secure VPN uređajima, ciljajući organizacije u telekomunikacijama, zdravstvu i javnom sektoru. Njihova metoda rada fokusira se na exfiltraciju podataka i špijunažu. Mandiant je također primijetio najozbiljnije malvere koje su ranije bili neviđeni, ali se trenutno prate kao DRYHOOK i PHASEJAM. Do trenutka objave ovog izvještaja, nije bilo moguće povezati ove malverite s poznatim prijetiteljima.
Ivanti je istaknula da “može biti više aktera odgovornih za stvaranje i implementaciju različitih obitelji koda (tj. SPAWN, DRYHOOK i PHASEJAM), ali do sada nemamo dovoljno podataka za točnu procjenu broja prijetitelja koji ciljaju CVE-2025-0282.”
Ovo upozorenje služi kao važan podsjetnik za sve korisnike Ivanti Connect Secure VPN uređaja da ostanu informirani i poduzmu potrebne mjere opreza kako bi zaštitili svoje mreže od potencijalnih prijetnji.
