Malware-ul RESURGE exploatează vulnerabilități 0-day din Ivanti Connect Secure

O variantă de malware recent descoperită, numită RESURGE, vizează în mod activ dispozitivele Ivanti Connect Secure, exploatând o vulnerabilitate critică de tip zero-day, ceea ce a determinat CISA să emită un avertisment oficial.

Malware-ul este conceput pentru a rezista repornirilor, a sustrage datele de autentificare și a rămâne activ mult timp după breșa inițială.

Principalul vector de atac este CVE-2025-0282, o vulnerabilitate de tip stack-based buffer overflow care afectează Ivanti Connect Secure, Policy Secure și ZTA Gateways.

Printr-o vulnerabilitate de tip stack-based buffer overflow, un atacator trimite mai multe date decât poate stoca un buffer de memorie, ceea ce corupe memoria și îi permite să execute propriul cod pe dispozitivul vizat.

Ivanti Connect Secure și produsele conexe sunt utilizate pe scară largă ca gateway-uri de acces la distanță securizate.

Specialiștii CISA au identificat RESURGE după ce au examinat trei fișiere recuperate de pe dispozitivul Ivanti Connect Secure al unei organizații, unde atacatorii exploataseră deja CVE-2025-0282 pentru a-și asigura primul punct de sprijin.

Alături de RESURGE, specialiștii au descoperit o variantă a SPAWNSLOTH, un instrument de falsificare a jurnalelor conceput pentru a șterge dovezile de intruziune din jurnalele dispozitivelor Ivanti, și un fișier binar personalizat numit dsmain care include utilitare BusyBox pentru decriptarea și reasamblarea imaginilor coreboot.

Împreună, aceste trei componente formează un set complet de instrumente de atac – una asigură accesul, una șterge urmele, iar una reconstruiește nucleul sistemului pentru a menține ușa deschisă.

RESURGE se bazează direct pe SPAWNCHIMERA, un malware cunoscut din familia SPAWN, care era deja capabil să reziste repornirilor sistemului.

Fișierul RESURGE, identificat ca libdsupgrade.so, introduce trei comenzi suplimentare care îi extind capacitățile mult peste cele ale predecesorului său.

CISA l-a descris ca fiind un rootkit, dropper, backdoor, bootkit, proxy și tunneler, toate într-un singur pachet, ceea ce înseamnă că un singur fișier oferă atacatorului aproape tot ce are nevoie pentru a prelua controlul deplin asupra unui dispozitiv compromis.

Odată ce RESURGE se instalează, atacatorii pot colecta date de autentificare, crea conturi de utilizator neautorizate, reseta parole și-și pot extinde propriile privilegii — toate acestea fără a declanșa tipul de alerte care ar semnaliza în mod normal o breșă de securitate.

Ceea ce face ca RESURGE să fie deosebit de greu de eliminat este nivelul la care se instalează într-un sistem compromis.

Malware-ul se inserează în fișierul ld.so.preload, ceea ce îl forțează să se încarce la startup înaintea aproape a tuturor celorlalte procese de pe dispozitiv.

CISA îndeamnă organizațiile afectate să efectueze o resetare la setările din fabrică, ca măsură cea mai fiabilă pentru eliminarea infecției. Sistemele cloud și virtuale ar trebui să utilizeze o imagine externă verificată.

Toate datele de autentificare ale conturilor, atât privilegiate, cât și neprivilegiate, trebuie resetate, iar contul krbtgt care gestionează autentificarea Kerberos trebuie resetat de două ori, datorită istoricului său cu două parole.

Organizațiile ar trebui să revoace temporar accesul dispozitivelor afectate, să revizuiască politicile de acces și să monitorizeze îndeaproape conturile administrative pentru a detecta semne de activitate neautorizată.

Sursă: https://cybersecuritynews.com/cisa-warns-of-resurge-malware-exploiting-0-days/