Ivanti VPN网络遭受高级黑客攻击

漏洞概述

Ivanti VPN网络正遭受资源充足的黑客攻击，这些黑客利用了一个关键漏洞（CVE-2025-0282），该漏洞允许他们在无需身份验证的情况下完全控制网络连接的设备。该漏洞存在于Ivanti的Connect Secure VPN、Policy Secure和ZTA Gateways中。Ivanti已发布安全补丁，将Connect Secure设备升级到版本22.7R2.5。

攻击详情

根据Google旗下的安全公司Mandiant的报告，自12月中旬以来，该漏洞已被用于攻击“多个被攻破的Ivanti Connect Secure设备”。攻击者在利用漏洞后，会在受感染的设备上安装两种前所未见的恶意软件包，分别命名为DRYHOOK和PHASEJAM。

PHASEJAM是一个编写精良的多功能bash shell脚本。它首先安装一个Web shell，使远程黑客能够获得设备的特权控制权，然后在Connect Secure的更新机制中注入一个功能，以模拟升级过程。

攻击者还在一些设备上使用了之前见过的恶意软件SPAWNANT。该恶意软件的一个功能是禁用Ivanti在近期VPN版本中内置的完整性检查工具（ICT），该工具用于检查设备文件中的未授权添加。SPAWNANT通过替换核心文件的预期SHA256加密哈希值来实现这一点。

隐藏攻击痕迹

攻击者还采取了多种措施来隐藏受感染设备上的攻击痕迹，包括清除内核消息、删除调试日志、删除故障排除信息包、移除日志应用程序事件日志条目以及移除SELinux审计日志中的执行命令。

SPAWNANT及其支持组件可以在系统升级过程中持续存在。它通过导出包含持久性机制的恶意snprintf函数来劫持dspkginstall的执行流程，从而确保在升级过程中被复制到新的升级分区。

攻击目标

攻击的最终目标是收集数据，包括VPN会话、会话cookie、API密钥、证书和凭证材料。Mandiant将此次攻击归因于两个未知的团体，其中一个被追踪为UNC5337，另一个UNC5221似乎是UNC5337的子组。Mandiant表示，这两个团体都是与中国有关联的间谍活动者。

建议措施

Ivanti建议客户使用ICT工具检测设备上的感染情况，但只有在管理员仔细检查结果以确保其真实性时，此建议才有用。如果工具检测到感染，Ivanti建议管理员对设备进行出厂重置。

负责Connect Secure VPN的人员应优先使用Ivanti和Mandiant提供的指标检查设备是否受到攻击。其他相关信息可以从Rapid7、Tenable和网络安全与基础设施安全局（CISA）的帖子中获取。

注：文章更新以纠正第二段中的CVE编号。