Tập đoàn công nghệ Ivanti đã đưa ra thông báo mới đây rằng hai lỗ hổng bảo mật được theo dõi là CVE-2025-0282 và CVE-2025-0283 đã được vá trong các thiết bị VPN Connect Secure (ICS) của công ty.

Công ty cảnh báo rằng CVE-2025-0282 là lỗ hổng tràn bộ đệm nghiêm trọng dựa trên ngăn xếp cho phép kẻ tấn công từ xa chưa xác thực thực thi mã tùy ý, đã bị khai thác trên thực tế đối với một số lượng khách hàng hạn chế, đến nay hãng không chia sẻ bất kỳ thông tin chi tiết nào về các cuộc tấn công này.

Tuy nhiên Mandiant, đơn vị đã hợp tác với Ivanti để điều tra các cuộc tấn công đã tiết lộ rằng việc khai thác có liên quan đến các tác nhân đe dọa từ Trung Quốc. Mandiant bắt đầu phát hiện việc khai thác lỗ hổng CVE-2025-0282 vào giữa tháng 12/2024.

Các nhà nghiên cứu cho biết hiện tại họ không thể quy kết việc khai thác CVE-2025-0282 cho một tác nhân đe dọa nào cụ thể. Tuy nhiên, công ty nhận thấy rằng những kẻ tấn công đã triển khai một dòng phần mềm độc hại được theo dõi là Spawn, trước đó được gán cho một nhóm gián điệp mạng có liên quan đến Trung Quốc có tên là UNC5337.

Theo đó, phần mềm độc hại Spawn bao gồm trình cài đặt SpawnAnt, trình tạo tunnel SpawnMole và một backdoor SSH có tên là SpawnSnail.

Mandiant nhận định rằng UNC5337 là một nhánh của nhóm tin tặc UNC5221, trước đây nhóm tin tặc này đã được phát hiện khai thác các lỗ hổng trong sản phẩm của Ivanti là CVE-2023-46805 và CVE-2024-21887. Nạn nhân của các cuộc tấn công đó bao gồm MITRE và Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA).

Trong các cuộc tấn công liên quan đến việc khai thác CVE-2025-0282 - Ivanti ICS zero-day mới, Mandiant cũng nhận thấy các dòng phần mềm độc hại chưa từng biết đến trước đây, chúng được đặt tên là DryHook và PhaseJam. Đến nay các phần mềm độc hại này vẫn chưa được liên kết với một nhóm tin tặc nào đã biết.

Mandiant giải thích: “Có thể có nhiều tin tặc chịu trách nhiệm tạo và triển khai các dòng mã độc khác nhau này (có thể là Spawn, DryHook và PhaseJam), nhưng tính đến thời điểm công bố báo cáo, chúng tôi không có đủ dữ liệu để đánh giá chính xác số lượng tác nhân đe dọa nhắm vào việc khai thác lỗ hổng CVE-2025-0282”.

Trong các cuộc tấn công mà Mandiant quan sát được, tin tặc đầu tiên đã gửi yêu cầu đến thiết bị mục tiêu để xác định phiên bản phần mềm. Sau khi xác định cụ thể, tin tặc thực hiện khai thác lỗ hổng CVE-2025-0282, vô hiệu hóa tính năng SELinux, thực hiện thay đổi cấu hình, thực thi tập lệnh và triển khai webshell nhằm chuẩn bị phân phối phần mềm độc hại.

Được biết, PhaseJam là một dropper có nhiệm vụ sửa đổi các thành phần Ivanti Connect Secure, triển khai webshell và ghi đè các tệp thực thi để tạo điều kiện thực thi lệnh tùy ý. Phần mềm độc hại này giúp kẻ tấn công thiết lập chỗ đứng ban đầu, cho phép chúng thực thi lệnh, tải tệp lên thiết bị và trích xuất dữ liệu.

Trong khi đó, phần mềm độc hại DryHook đã được kẻ tấn công sử dụng trong giai đoạn khai thác sau cuộc tấn công để đánh cắp thông tin đăng nhập.

Trong nỗ lực duy trì qua các lần nâng cấp hệ thống, những kẻ tấn công đã lợi dụng phần mềm độc hại SpawnAnt, tự sao chép các thành phần của nó vào một phân vùng nâng cấp đặc biệt. Ngoài ra, phần mềm độc hại PhaseJam còn chặn các lần nâng cấp hệ thống, nhưng hiển thị thanh tiến trình nâng cấp giả mạo để tránh gây nghi ngờ.

Mandiant đã cảnh báo rằng lỗ hổng CVE-2025-0282 có khả năng bị nhiều tác nhân đe dọa khác khai thác nếu PoC được tạo ra và công khai.

Gần đây, CISA đã thêm lỗ hổng bảo mật Ivanti Connect Secure zero-day vào danh mục Lỗ hổng bảo mật đã biết (KEV), đồng thời yêu cầu các cơ quan liên bang giải quyết lỗ hổng bảo mật này trước ngày 15/01/2024.

Điều đáng chú ý là Ivanti đã phát hành bản vá cho Connect Secure, nhưng Policy Secure và Neurons cho các cổng ZTA cũng bị ảnh hưởng chỉ nhận được bản vá vào ngày 21/01/2024.