نقص حیاتی در Ivanti با شناسه CVE-2025-22457 به‌طور فعال برای استقرار بدافزارهای TRAILBLAZE و BRUSHFIRE مورد سوءاستفاده قرار گرفته است!

شرکت Ivanti از یک آسیب‌پذیری بحرانی پچ شده با شناسه CVE-2025-22457 پرده برداشته که در ابزار Connect Secure این شرکت کشف شده و به‌طور فعال توسط مهاجمان مورد سوءاستفاده قرار گرفته است.

این آسیب‌پذیری با امتیاز CVSS : 9.0، مربوط به سرریز بافر مبتنی بر stack است که مهاجم می‌تواند از راه دور و بدون نیاز به احراز هویت، کد دلخواه خود را روی سیستم‌های آسیب‌پذیر اجرا کند.

محصولات آسیب‌پذیر:

• Secure (نسخه‌های 22.7R2.5 و پایین‌تر) که نسخه 22.7R2.6 در ۱۱ فوریه ۲۰۲۵ پچ شد.
• Pulse Connect Secure (نسخه‌های 9.1R18.9 و پایین‌تر) که نسخه 22.7R2.6 پچ شد (نیازمند مهاجرت به دلیل پایان پشتیبانی در ۳۱ دسامبر ۲۰۲۴)
• Ivanti Policy Secure (نسخه‌های 22.7R1.3.3 و پایین‌تر) که نسخه 22.7R1.4 پچ شده و در 21 آوریل منتشر می‌شود.
• ZTA Gateways (نسخه‌های 22.8R2 و پایین‌تر) که نسخه 22.8R2.2 پچ شده و در 19 آوریل منتشر می‌شود.

طبق اعلام Ivanti، تنها تعدادی محدود از کاربران Connect Secure و Pulse Connect Secure مورد سوءاستفاده قرار گرفته‌اند و تاکنون شواهدی از سوءاستفاده از Policy Secure یا ZTA در دست نیست.

Ivanti همچنین هشدار داده است که مشتریان باید وب‌سرورهای خود را مانیتور کنند و در صورت مشاهده نشانه‌هایی از نفوذ، دستگاه را به تنظیمات کارخانه (reset factory) بازگردانده و نسخه پچ‌شده را مجدداً راه‌اندازی کنند.

در کنار CVE-2025-22457، نسخه 22.7R2.6 چند آسیب‌پذیری بحرانی دیگر را نیز برطرف می‌کند از جمله:

• CVE-2024-38657
• CVE-2025-22467
• CVE-2024-10644

این آسیب پذیری‌ها امکان نوشتن فایل و اجرای کد توسط مهاجم را فراهم می‌کردند.

روش حمله CVE-2025-22457 

تحقیقات شرکت امنیتی Mandiant نشان می‌دهد مهاجمان در اواسط مارس ۲۰۲۵ از آسیب‌پذیری CVE-2025-22457 برای نصب بدافزار TRAILBLAZE (لودر در حافظه)، BRUSHFIRE (بکدور با قابلیت اجرا پس‌زمینه) و مجموعه‌ای به نام SPAWN سوءاستفاده کرده‌اند.

زنجیره حمله بعد از اکسپلویت آسیب‌پذیری با یک اسکریپت شل آغاز می‌شود که TRAILBLAZE را اجرا می‌کند. سپس این بدافزار، BRUSHFIRE را به طور مستقیم در /home/bin/web تزریق می‌کند تا از شناسایی فرار کند.

مرحله اول با جستجو برای یافتن یک فرآیند /home/bin/web آغاز می‌شود که فرآیند فرزند یک فرآیند دیگر /home/bin/web باشد (به نظر می‌رسد هدف این کار تزریق به فرآیند web باشد که واقعاً در حال گوش دادن به اتصالات است). سپس فایل‌ها و محتوای مرتبط زیر را ایجاد می‌کند:

• /tmp/.p: حاوی شناسه PID فرآیند /home/bin/web
• /tmp/.m: حاوی نقشه حافظه آن فرآیند (به‌صورت قابل‌خواندن برای انسان)
• /tmp/.w: حاوی آدرس پایه باینری web از آن فرآیند.
• /tmp/.s: حاوی آدرس پایهso از آن فرآیند.
• /tmp/.r: حاوی بکدور BRUSHFIRE
• /tmp/.i: حاوی دراپر TRAILBLAZE

سپس اسکریپت شل، فایل /tmp/.i را اجرا می‌کند که دراپر مرحله دوم در حافظه است و با نام TRAILBLAZE ردیابی می‌شود. پس از آن، تمامی فایل‌های موقتی که قبلاً ایجاد شده بودند (به‌جز /tmp/.p) و همچنین محتوای دایرکتوری /data/var/cores حذف می‌شوند. در ادامه، تمامی فرآیندهای فرزند فرآیند /home/bin/web متوقف شده و فایل /tmp/.p حذف می‌گردد. تمامی این رفتارها گذرا (non-persistent) هستند و در صورت راه‌اندازی مجدد سیستم یا فرآیند، رهاکننده باید دوباره اجرا شود.

TRAILBLAZE

TRAILBLAZE یک دراپر در حافظه است که کاملا به زبان C نوشته شده، از فراخوانی‌های سیستمی خام استفاده می‌کند و به‌گونه‌ای طراحی شده که تا حد امکان کم‌حجم باشد؛ احتمالاً برای اینکه بتواند به‌صورت Base64 درون اسکریپت شل جا بگیرد. TRAILBLAZE یک قلاب (hook) را به فرآیند شناسایی‌شده /home/bin/web تزریق می‌کند. سپس بکدور BRUSHFIRE را به یک فضای خالی کد (code cave) درون آن فرآیند تزریق می‌نماید.

BRUSHFIRE

BRUSHFIRE یک بکدور قابل اجرا در پس‌زمینه است که به زبان C نوشته شده و به‌عنوان یک قلاب SSL_read عمل می‌کند. ابتدا تابع اصلی SSL_read را اجرا می‌کند و بررسی می‌نماید که آیا داده‌های بازگشتی با یک رشته خاص آغاز می‌شوند یا خیر. در صورتی که داده‌ها با آن رشته آغاز شوند، داده‌ها را با استفاده از XOR رمزگشایی کرده و شل‌کدی که در داده‌ها قرار دارد را اجرا می‌کند.

SPAWN

اجزای SPAWN و وظیفه آن‌ها به شرح زیر است:

• SPAWNSLOTH: غیرفعال‌سازی لاگ‌ها و ارسال آن‌ها به سرور syslog از طریق هدف قرار دادن فرایند dslogserver
• SPAWNSNARE: یک برنامه مبتنی بر C که مسئول استخراج و رمزنگاری فایل هسته لینوکس (vmlinux) است.
• SPAWNWAVE: نسخه‌ای پیشرفته‌تر از SPAWNANT که عناصر مختلف SPAWN را ترکیب می‌کند.

این مجموعه بدافزار به گروه تهدید UNC5221 نسبت داده شده که سابقه استفاده از نقص‌های روز صفر در دستگاه‌های Ivanti را دارد. دیگر عوامل تهدید مربوطه UNC5266، UNC5291، UNC5330، UNC5337 و UNC3886 هستند.

براساس منابع دولتی آمریکا، UNC5221 ممکن است با گروه‌هایی مانند APT27، Silk Typhoon و UTA0178 در ارتباط باشد، هرچند هنوز به‌صورت مستقل این ارتباط را تأیید نشده‌است.

همچنین این فرضیه مطرح شده که عامل تهدید احتمالاً پچ امنیتی منتشرشده توسط Ivanti در فوریه را تحلیل کرده و راهی برای سوءاستفاده از نسخه‌های قبلی یافته است تا بتواند اجرای کد از راه دور را علیه سیستم‌های به‌روزرسانی‌نشده محقق سازد.

به عقیده محققان امنیتی فعالیت اخیر گروه UNC5221 بر هدف‌گیری مداوم دستگاه‌های لبه شبکه(edge devices)  در سطح جهانی توسط گروه‌های جاسوسی مرتبط با چین تأکید دارد.

توصیه امنیتی

سازمان امنیت سایبری آمریکا (CISA) در تاریخ ۴ آوریل ۲۰۲۵ این آسیب‌پذیری را به فهرست آسیب‌پذیری‌های اکسپلویت ‌شده(KEV) اضافه کرده و به تمامی سازمان‌های فدرال دستور داده تا پیش از ۱۱ آوریل پچ های لازم را اعمال کنند.

همچنین توصیه شده است دستگاه‌های مشکوک، از شبکه ایزوله شوند، کلمه عبور‌ها تغییر داده شوند و دستگاه به تنظیمات کارخانه بازگردانده شود.

شاخص‌های نفوذ(IoC) را میتوانید از این لینک مشاهده کنید.

منابع: