-
09/04/2020
-
94
-
729 bài viết
Mã độc RESURGE khai thác lỗ hổng trong Ivanti với các tính năng Rootkit và Web Shell
Mã độc RESURGE đang được khai thác để tấn công các thiết bị Ivanti Connect Secure (ICS) thông qua lỗ hổng CVE-2025-0282.
RESURGE là một biến thể nâng cấp của SPAWNCHIMERA, có các chức năng:
Lỗ hổng CVE-2025-0282 là một lỗ hổng tràn bộ đệm dựa trên ngăn xếp (stack-based buffer overflow), có thể dẫn đến thực thi mã từ xa (RCE), ảnh hưởng đến các phiên bản:
Lỗ hổng CVE-2025-0282 trong các sản phẩm của Ivanti đã được công bố với mã khai thác (Proof of Concept - PoC) công khai trên GitHub.
Mặc dù đã có PoC công khai và điểm CVSS cao (9.0), việc khai thác lỗ hổng CVE-2025-0282 trong thực tế không phải là điều đơn giản và đòi hỏi kỹ năng kỹ thuật chuyên sâu (Độ phức tạp cao): Quá trình khai thác yêu cầu vượt qua các cơ chế bảo vệ như ASLR, đòi hỏi kẻ tấn công phải đoán chính xác địa chỉ cơ sở của thư viện chia sẻ. Các mã khai thác hiện có thường được thiết kế cho các phiên bản cụ thể của phần mềm, do đó cần điều chỉnh phù hợp với môi trường mục tiêu.
Cập nhật ngay lập tức lên phiên bản mới nhất của Ivanti Connect Secure & Policy Secure.có thể vá CVE-2025-0282 để ngăn chặn hacker khác khai thác.
RESURGE là một biến thể nâng cấp của SPAWNCHIMERA, có các chức năng:
- Rootkit, bootkit, dropper, backdoor, proxy, tunneler
- Duy trì hoạt động sau reboot
- Cài đặt web shell để thu thập thông tin đăng nhập, tạo tài khoản, leo thang đặc quyền
- Ghi đè và thao túng file hệ thống, sửa đổi integrity checks
Lỗ hổng CVE-2025-0282 là một lỗ hổng tràn bộ đệm dựa trên ngăn xếp (stack-based buffer overflow), có thể dẫn đến thực thi mã từ xa (RCE), ảnh hưởng đến các phiên bản:
- Ivanti Connect Secure (trước 22.7R2.5);
- Ivanti Policy Secure (trước 22.7R1.2);
- Ivanti Neurons for ZTA Gateways (trước 22.7R2.3).
Lỗ hổng CVE-2025-0282 trong các sản phẩm của Ivanti đã được công bố với mã khai thác (Proof of Concept - PoC) công khai trên GitHub.
Mặc dù đã có PoC công khai và điểm CVSS cao (9.0), việc khai thác lỗ hổng CVE-2025-0282 trong thực tế không phải là điều đơn giản và đòi hỏi kỹ năng kỹ thuật chuyên sâu (Độ phức tạp cao): Quá trình khai thác yêu cầu vượt qua các cơ chế bảo vệ như ASLR, đòi hỏi kẻ tấn công phải đoán chính xác địa chỉ cơ sở của thư viện chia sẻ. Các mã khai thác hiện có thường được thiết kế cho các phiên bản cụ thể của phần mềm, do đó cần điều chỉnh phù hợp với môi trường mục tiêu.
Cập nhật ngay lập tức lên phiên bản mới nhất của Ivanti Connect Secure & Policy Secure.có thể vá CVE-2025-0282 để ngăn chặn hacker khác khai thác.
Theo The Hacker News