- Ivanti revela dos vulnerabilidades de seguridad, incluida una de gravedad crítica
- Una de las fallas fue el abuso de día cero por parte de un actor de amenazas chino.
- Los investigadores descubrieron un malware nunca antes visto implementado en el ataque
Ivanti advirtió a sus clientes sobre una vulnerabilidad crítica que afecta a sus dispositivos VPN y que está siendo explotada activamente para lanzar malware.
En un aviso de seguridad, Ivanti dijo que recientemente reveló dos vulnerabilidades, CVE-2025-0282 y CVE-2025-0283, que afectan a los dispositivos Ivanti Connect Secure VPN.
El primero parece ser el más peligroso de los dos. Recibe una puntuación de gravedad de 9,0 (crítico) y se describe como un glifo de búfer basado en pila no verificado. “Una explotación exitosa podría resultar en la ejecución remota de código no autenticado, lo que llevaría a un posible compromiso de la red de la víctima”, dijo.
La segunda vulnerabilidad, también un desbordamiento de búfer basado en pila, tiene una puntuación de gravedad de 7,0 (alta).
Se ha implementado nuevo malware
La compañía instó a los clientes a aplicar el parche de inmediato y proporcionó más detalles sobre los actores de la amenaza y sus herramientas.
En colaboración con investigadores de seguridad b mendienteIvanti determinó que la primera vulnerabilidad fue explotada de forma natural en un día cero, probablemente por múltiples actores de amenazas.
En al menos una de las VPN comprometidas, Mandiant encontró actores de amenazas que implementaban el ecosistema de malware SPAWN (incluido el instalador SPAWNANT, el tunelizador SPAWNMOLE y la puerta trasera SPAWNSNAIL SSH).
El grupo detrás de este ataque ha sido identificado como UNC5221, que se cree que es un grupo de espionaje vinculado a China que ha estado activo desde al menos diciembre de 2023.
En el pasado, UNC5221 se ha relacionado con la explotación de vulnerabilidades de día cero en dispositivos Ivanti Connect Secure VPN, dirigidas a organizaciones de los sectores público, sanitario y de telecomunicaciones. El grupo se centra en el intercambio de datos y el espionaje.
Mendiant también ha visto a delincuentes lanzar malware nunca antes visto, ahora rastreado como DRYHOOK y PHASEJAM. No pudieron rastrear a estas familias hasta ningún actor de amenaza conocido.
“Múltiples actores pueden ser responsables de la creación e implementación de estas diversas familias de códigos (es decir, SPAWN, DRYHOOK y PHASEJAM), pero a partir de la publicación de este informe, no tenemos datos suficientes para estimar con precisión la cantidad de actores de amenazas que apuntan a CVE- 2025-0282”, dijo Ivanti en el informe.
