Το νέο malware RESURGE εκμεταλλεύεται ευπάθεια της Ivanti
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το νέο malware RESURGE εκμεταλλεύεται ευπάθεια της Ivanti
https://www.secnews.gr/644817/neo-malware-resurge-ekmetalleuetai-eupatheia-ivanti/
Mar 31st 2025, 10:48
by Digital Fortress
Η CISA αποκάλυψε ένα νέο malware που ονομάζεται RESURGE και εκμεταλλεύεται μια ευπάθεια του Ivanti Connect Secure (ICS). Η ευπάθεια έχει διορθωθεί από την εταιρεία.
Σύμφωνα με την υπηρεσία ασφαλείας, το RESURGE περιέχει διάφορες δυνατότητες: επιβιώνει μετά από επανεκκινήσεις και περιέχει διακριτικές εντολές που αλλάζουν τη συμπεριφορά του. Επίσης, έχει δυνατότητες rootkit, dropper, backdoor, bootkit, proxy και tunneler.
Η ευπάθεια της Ivanti, που χρησιμοποιείται σε αυτές τις επιθέσεις, παρακολουθείται ως CVE-2025-0282 και είναι μια "ευπάθεια stack-based buffer overflow". Στην πραγματικότητα, επηρεάζει τα Ivanti Connect Secure, Policy Secure και ZTA Gateways και θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να εκτελέσει απομακρυσμένη εκτέλεση κώδικα.
Δείτε επίσης: WordPress: Οι ευπάθειες που χρησιμοποιήσαν περισσότερο οι hackers το Q1 2025
Η ευπάθεια Ivanti, που χρησιμοποιείται από το RESURGE malware, επηρεάζει τις ακόλουθες εκδόσεις:
• Ivanti Connect Secure πριν από την έκδοση 22.7R2.5
• Ivanti Policy Secure πριν από την έκδοση 22.7R1.2 και
• Ivanti Neurons for ZTA gateways πριν από την έκδοση 22.7R2.3
Σύμφωνα με την εταιρεία ασφαλείας Mandiant, η ευπάθεια έχει χρησιμοποιηθεί για να παρέχει αυτό που ονομάζεται "SPAWN ecosystem of malware". Αυτό περιλαμβάνει πολλά στοιχεία όπως τα SPAWNANT, SPAWNMOLE και SPAWNSNAIL. Η χρήση του SPAWN έχει αποδοθεί σε μια κινεζική ομάδα κατασκοπείας που ονομάζεται UNC5337.
Τον περασμένο μήνα, το JPCERT/CC αποκάλυψε ότι η ευπάθεια χρησιμοποιήθηκε και για την παροχή μιας ενημερωμένης έκδοσης του SPAWN, γνωστής ως SPAWNCHIMERA. Αυτή η παραλλαγή συνδυάζει όλα τα προαναφερθέντα modules σε ένα monolithic malware, ενώ επίσης ενσωματώνει αλλαγές για τη διευκόλυνση της επικοινωνίας μεταξύ διεργασιών μέσω UNIX domain sockets.
Μάλιστα, η νέα παραλλαγή διέθετε μια δυνατότητα για διόρθωση της ευπάθειας Ivanti, έτσι ώστε να μην μπορούν να την εκμεταλλευτούν άλλες hacking ομάδες.
Δείτε επίσης: Mozilla: Προειδοποιεί χρήστες Windows για κρίσιμη ευπάθεια Firefox
Σύμφωνα με τη CISA, το malware RESURGE ("libdsupgrade.so") είναι μια βελτίωση σε σχέση με το SPAWNCHIMERA και υποστηρίζει τρεις νέες εντολές:
• Εισάγεται στο "ld.so.preload", ρυθμίζει ένα web shell, χειρίζεται ελέγχους ακεραιότητας και τροποποιεί αρχεία
• Ενεργοποιεί τη χρήση web shells για συλλογή διαπιστευτηρίων, δημιουργία λογαριασμού, επαναφορά κωδικού πρόσβασης και κλιμάκωση προνομίων
• Αντιγράφει το web shell στον Ivanti boot disk και χειρίζεται το τρέχον coreboot image
Αξίζει να σημειωθεί ότι η ευπάθεια CVE-2025-0282 της Ivanti είχε επίσης χρησιμοποιηθεί ως zero-day από άλλη ομάδα απειλών που συνδέεται με την Κίνα και παρακολουθείται ως Silk Typhoon (πρώην Hafnium).
Προστασία
Πέρα από την εφαρμογή ενημερώσεων, συνιστάται η παρακολούθηση του network traffic για οποιαδήποτε ασυνήθιστη δραστηριότητα που μπορεί να υποδεικνύει απόπειρες εκμετάλλευσης. Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, η έγκαιρη αντιμετώπιση τέτοιων τρωτών σημείων είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας.
Δείτε επίσης: NetApp SnapCenter: Ευπάθεια επιτρέπει κλιμάκωση προνομίων
Οι οργανισμοί δεν μπορούν να βασίζονται απλώς σε αντιδραστικά μέτρα για την προστασία των συστημάτων τους. Τα προληπτικά βήματα, όπως η τακτική επιδιόρθωση γνωστών τρωτών σημείων και η εφαρμογή ισχυρών ελέγχων πρόσβασης, είναι απαραίτητα για τον μετριασμό των πιθανών κινδύνων.
Η εκμετάλλευση ευπαθειών Ivanti χρησιμεύει ως υπενθύμιση ότι οι εισβολείς αναζητούν συνεχώς νέους τρόπους για διείσδυση σε δίκτυα και παραβίαση ευαίσθητων δεδομένων. Υπογραμμίζει επίσης τη σημασία της παραμονής σε εγρήγορση.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το νέο malware RESURGE εκμεταλλεύεται ευπάθεια της Ivanti
https://www.secnews.gr/644817/neo-malware-resurge-ekmetalleuetai-eupatheia-ivanti/
Mar 31st 2025, 10:48
by Digital Fortress
Η CISA αποκάλυψε ένα νέο malware που ονομάζεται RESURGE και εκμεταλλεύεται μια ευπάθεια του Ivanti Connect Secure (ICS). Η ευπάθεια έχει διορθωθεί από την εταιρεία.
Σύμφωνα με την υπηρεσία ασφαλείας, το RESURGE περιέχει διάφορες δυνατότητες: επιβιώνει μετά από επανεκκινήσεις και περιέχει διακριτικές εντολές που αλλάζουν τη συμπεριφορά του. Επίσης, έχει δυνατότητες rootkit, dropper, backdoor, bootkit, proxy και tunneler.
Η ευπάθεια της Ivanti, που χρησιμοποιείται σε αυτές τις επιθέσεις, παρακολουθείται ως CVE-2025-0282 και είναι μια "ευπάθεια stack-based buffer overflow". Στην πραγματικότητα, επηρεάζει τα Ivanti Connect Secure, Policy Secure και ZTA Gateways και θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να εκτελέσει απομακρυσμένη εκτέλεση κώδικα.
Δείτε επίσης: WordPress: Οι ευπάθειες που χρησιμοποιήσαν περισσότερο οι hackers το Q1 2025
Η ευπάθεια Ivanti, που χρησιμοποιείται από το RESURGE malware, επηρεάζει τις ακόλουθες εκδόσεις:
• Ivanti Connect Secure πριν από την έκδοση 22.7R2.5
• Ivanti Policy Secure πριν από την έκδοση 22.7R1.2 και
• Ivanti Neurons for ZTA gateways πριν από την έκδοση 22.7R2.3
Σύμφωνα με την εταιρεία ασφαλείας Mandiant, η ευπάθεια έχει χρησιμοποιηθεί για να παρέχει αυτό που ονομάζεται "SPAWN ecosystem of malware". Αυτό περιλαμβάνει πολλά στοιχεία όπως τα SPAWNANT, SPAWNMOLE και SPAWNSNAIL. Η χρήση του SPAWN έχει αποδοθεί σε μια κινεζική ομάδα κατασκοπείας που ονομάζεται UNC5337.
Τον περασμένο μήνα, το JPCERT/CC αποκάλυψε ότι η ευπάθεια χρησιμοποιήθηκε και για την παροχή μιας ενημερωμένης έκδοσης του SPAWN, γνωστής ως SPAWNCHIMERA. Αυτή η παραλλαγή συνδυάζει όλα τα προαναφερθέντα modules σε ένα monolithic malware, ενώ επίσης ενσωματώνει αλλαγές για τη διευκόλυνση της επικοινωνίας μεταξύ διεργασιών μέσω UNIX domain sockets.
Μάλιστα, η νέα παραλλαγή διέθετε μια δυνατότητα για διόρθωση της ευπάθειας Ivanti, έτσι ώστε να μην μπορούν να την εκμεταλλευτούν άλλες hacking ομάδες.
Δείτε επίσης: Mozilla: Προειδοποιεί χρήστες Windows για κρίσιμη ευπάθεια Firefox
Σύμφωνα με τη CISA, το malware RESURGE ("libdsupgrade.so") είναι μια βελτίωση σε σχέση με το SPAWNCHIMERA και υποστηρίζει τρεις νέες εντολές:
• Εισάγεται στο "ld.so.preload", ρυθμίζει ένα web shell, χειρίζεται ελέγχους ακεραιότητας και τροποποιεί αρχεία
• Ενεργοποιεί τη χρήση web shells για συλλογή διαπιστευτηρίων, δημιουργία λογαριασμού, επαναφορά κωδικού πρόσβασης και κλιμάκωση προνομίων
• Αντιγράφει το web shell στον Ivanti boot disk και χειρίζεται το τρέχον coreboot image
Αξίζει να σημειωθεί ότι η ευπάθεια CVE-2025-0282 της Ivanti είχε επίσης χρησιμοποιηθεί ως zero-day από άλλη ομάδα απειλών που συνδέεται με την Κίνα και παρακολουθείται ως Silk Typhoon (πρώην Hafnium).
Προστασία
Πέρα από την εφαρμογή ενημερώσεων, συνιστάται η παρακολούθηση του network traffic για οποιαδήποτε ασυνήθιστη δραστηριότητα που μπορεί να υποδεικνύει απόπειρες εκμετάλλευσης. Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, η έγκαιρη αντιμετώπιση τέτοιων τρωτών σημείων είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας.
Δείτε επίσης: NetApp SnapCenter: Ευπάθεια επιτρέπει κλιμάκωση προνομίων
Οι οργανισμοί δεν μπορούν να βασίζονται απλώς σε αντιδραστικά μέτρα για την προστασία των συστημάτων τους. Τα προληπτικά βήματα, όπως η τακτική επιδιόρθωση γνωστών τρωτών σημείων και η εφαρμογή ισχυρών ελέγχων πρόσβασης, είναι απαραίτητα για τον μετριασμό των πιθανών κινδύνων.
Η εκμετάλλευση ευπαθειών Ivanti χρησιμεύει ως υπενθύμιση ότι οι εισβολείς αναζητούν συνεχώς νέους τρόπους για διείσδυση σε δίκτυα και παραβίαση ευαίσθητων δεδομένων. Υπογραμμίζει επίσης τη σημασία της παραμονής σε εγρήγορση.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια