安全热点周报：黑客利用自定义恶意软件对受感染的 Ivanti 设备发起零日攻击

奇安信 CERT · 公众号 · · 2025-01-13 16:25

正文

请到「今天看啥」查看全文

PART 0 2

新增在野利用

1. Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)

1月8日，Ivanti 警告称，黑客利用 Connect Secure 远程代码执行漏洞 (CVE-2025-0282) 进行零日攻击，在设备上安装恶意软件。

该公司表示，在 Ivanti 完整性检查工具 (ICT) 检测到客户设备上的恶意活动后意识到了这些漏洞。Ivanti 展开了调查，并确认威胁行为者正在积极利用 CVE-2025-0282 作为零日漏洞。

CVE-2025-0282 是存在于 Ivanti Connect Secure 22.7R2.5 版本之前、Ivanti Policy Secure 22.7R1.2 版本之前以及 Ivanti Neurons for ZTA 网关 22.7R2.3 版本之前的一个严重 (9.0) 基于堆栈的缓冲区溢出漏洞，允许未经身份验证的攻击者远程在设备上执行代码。

尽管该漏洞影响范围广泛，但该供应商明确表示仅针对 Connect Secure 设备发起了攻击，同时还指出受影响的客户数量“有限”。据网络安全公司 Mandiant（现为 Google Cloud 的一部分）称，攻击者自 12 月中旬开始利用该漏洞并使用自定义 Spawn 恶意软件工具包。

该恶意框架通常与该公司追踪为 UNC5337 的间谍活动有关，并且很可能是追踪为 UNC5221 的更大集群的一部分。然而，在一些受感染设备上发现的先前未知的“Dryhook”和“Phasejam”恶意软件家族目前尚未被归类为任何威胁组织。

建议系统管理员恢复出厂设置并升级到 Ivanti Connect Secure 22.7.R2.5，即使内部和外部 ICT 扫描没有发现恶意活动的迹象。

参考链接：

https://www.bleepingcomputer.com/news/security/google-chinese-hackers-likely-behind-ivanti-vpn-zero-day-attacks/

2. Mitel MiCollab 路径遍历漏洞(CVE-2024-41713、CVE-2024-55550)

1月7日，美国网络安全机构 CISA 警告称，最近披露的两个影响 Mitel MiCollab 企业协作平台的漏洞已被利用进行攻击。

这两个漏洞的编号分别为 CVE-2024-41713 和 CVE-2024-55550，是影响 Mitel MiCollab 9.8 SP1 FP2（9.8.1.201）及更早版本的路径遍历漏洞。

CVE-2024-41713（CVSS 评分为 9.8）是一个严重漏洞，可能允许未经身份验证的攻击者访问配置信息并在服务器上执行未经授权的管理操作。CVE-2024-55550（CVSS 评分为 2.7）是一个低严重性漏洞，可利用该漏洞访问通常限制为管理员访问级别的资源，但不允许文件修改或特权升级。成功利用此漏洞需要以管理员身份进行身份验证。

Mitel 于 2024 年 10 月发布了针对该严重漏洞的补丁，但并未提及低严重性漏洞。该漏洞于 12 月初披露，且没有 CVE 标识符，当时攻击面管理公司 WatchTowr 警告称，该漏洞仍未得到修补。

Mitel 在其公告中表示，MiCollab 版本 9.8 SP2（9.8.2.12）解决了严重程度较高的漏洞、缓解了低严重程度的漏洞，并解决了其他严重程度和高严重程度的安全缺陷。

12 月，WatchTowr 发布了有关这两个漏洞的技术信息，以及结合这两个漏洞进行数据泄露的概念验证 (PoC) 漏洞代码，但没有提及这两个漏洞在野利用的情况。

目前还没有任何关于利用 CVE-2024-41713 和 CVE-2024-55550 的攻击的公开信息，建议所有组织在其环境中识别易受攻击的 Mitel MiCollab 实例并尽快更新或删除它们，以降低受到攻击的风险。

参考链接：

https://www.securityweek.com/cisa-warns-of-mitel-micollab-vulnerabilities-exploited-in-attacks/