CVE-2025-0282

Nome do Software Vulnerável e Versões Afetadas Ivanti Connect Secure versões anteriores a 22.7R2.5 Ivanti Policy Secure versões anteriores a 22.7R1.2 Ivanti Neurons for ZTA gateways versões anteriores a 22.7R2.3

Description Um estouro de buffer baseado em pilha e um problema de leitura de memória fora dos limites permitem que um invasor remoto não autenticado consiga a execução remota de código e eleve privilégios. O problema foi explorado ativamente desde meados de dezembro de 2024, visando instituições financeiras e agências governamentais. A exploração envolve a desativação do SELinux, a prevenção do encaminhamento de syslog, a remontagem da unidade como leitura e gravação e a implantação de web shells. Invasores utilizaram o Trojan de acesso remoto baseado em ELF DslogdRAT, que utiliza funções como init config() para descriptografar buffers de configuração via XOR, child() para persistência através de forking contínuo e test() para gerenciar a conectividade de saída connectx() e de entrada listenx(). Além disso, o implante Linux LSO RESURGE foi usado como um C2 passivo que intercepta a função accept() para ser ativado mediante impressões digitais TLS específicas. Para manter a persistência e enganar administradores, o malware PHASEJAM é usado para bloquear atualizações legítimas do sistema enquanto exibe uma barra de progresso falsa, e o manifesto da ferramenta Ivanti Integrity Checker Tool (ICT) é manipulado para burlar as verificações de integridade.

Recommendations Atualize o Ivanti Connect Secure para a versão 22.7R2.5 ou posterior. Atualize o Ivanti Policy Secure para a versão 22.7R1.2 ou posterior. Atualize o Ivanti Neurons for ZTA gateways para a versão 22.7R2.3 ou posterior. Execute a ferramenta externa Ivanti Integrity Checker Tool (ICT) para verificar a integridade do sistema.