严重的 Ivanti 漏洞被利用部署 TRAILBLAZE 和 BRUSHFIRE 恶意软件

Factor安全

已于 2025-04-05 16:42:58 修改

阅读量745

点赞数 24

分类专栏：红蓝情报站｜每日漏洞与攻防动态文章标签： web安全安全性测试安全威胁分析安全网络安全

于 2025-04-05 16:38:45 首次发布

本文链接：https://blog.csdn.net/syg6921008/article/details/147011832

版权

红蓝情报站｜每日漏洞与攻防动态专栏收录该内容

9 篇文章

订阅专栏

严重的 Ivanti 漏洞被利用部署 TRAILBLAZE 和 BRUSHFIRE 恶意软件

转至：thehackernews
编写：factor

2025 年 4 月 4 日

在这里插入图片描述

Ivanti 披露了影响其 Connect Secure 的严重安全漏洞的详细信息，该漏洞现已得到修复，并获得广泛利用。

该漏洞编号为CVE-2025-22457（CVSS评分：9.0），涉及基于堆栈的溢出，被利用在望远镜的系统上执行任意代码。

Ivanti 在周四发布的警报中表示：“Ivanti Connect Secure 22.7R2.6 版本、Ivanti Policy Secure 22.7R1.4 版本以及 Ivanti ZTA Gateways 22.8R2.2 版本之前存在基于仓库的故障，允许未身份验证的远程攻击者实现远程代码执行。”

该漏洞影响以下产品和版本 -

Ivanti Connect Secure（版本 22.7R2.5 及更早版本）- 已在版本 22.7R2.6 中修复（于 2025 年 2 月 11 日发布）
Pulse Connect Secure（版本 9.1R18.9 及更早版本）- 已在版本 22.7R2.6 中修复（请联系 Ivanti 进行迁移，因为该设备已于 2024 年 12 月 31 日达到支持终止日期）
Ivanti Policy Secure（版本 22.7R1.3 及更早版本）- 已在版本 22.7R1.4 中修复（将于 4 月 21 日发布）
ZTA网关（版本22.8R2及更早版本）——已在版本22.8R2.2中修复（将于4月19日推出）

该公司表示，它知道“有限数量的客户”的 Connect Secure 和已终止支持的 Pulse Connect Secure 设备遭受了攻击。没有证据表明 Policy Secure 或 ZTA 网关遭受了现场攻击。

Ivanti 指出：“客户应该监控其外部 ICT 并查找 Web 服务器崩溃情况。如果您的 ICT 结果显示出多种情况，则应在设备上执行出厂重置，然后使用版本 22.7R2.6 将设备重新投入生产。”

值得一提的是，Connect Secure 版本 22.7R2.6 还解决了多个严重漏洞（CVE-2024-38657、CVE-2025-22467 和 CVE-2024-10644），这些漏洞可能允许远程经过身份验证的攻击者读取任何文件并执行任意代码。

谷歌公布的 Mandiant 公司在自己的公告中表示，它在 2025 年 3 月中旬观察到利用 CVE-2025-22457 的证据，这使得威胁者能够推出名为 TRAILBLAZE 的内存投放器、代号为 BRUSHFIRE 的分区后门和 SPAWN 恶意软件套件。

主要攻击链涉及使用多级shell脚本启动程序来执行TRAILBLAZE，然后将BRUSHFIRE直接注入正在运行的Web进程的内存中，以尝试进行检测。利用的活动旨在在受感染的设备上建立持久的后门访问，从而可能导致资源丢失、进一步的网络攻击和数据丢失。

SPAWN 恶意软件生态系统包括以下组件 -

SPAWNSLOTH 是一个日志篡改实用程序，当SPAWNSNAIL后门运行时，它可以取消日志记录并取消将日志转发到外部系统日志服务器
SPAWNSNARE 是一个基于 C 的程序，用于将未压缩的 Linux 内核映像 (vmlinux) 提取到文件中，并使用 AES 进行加密
SPAWNWAVE，SPAWNANT 的改进版本，融合了 SPAWN 的各种元素（与 SPAWNCHIMERA 和 RESURGE 重叠）

SPAWN 的利用漏洞被追踪为 UNC5221 的中国关联对手，该对手曾利用Ivanti Connect Secure (ICS) 设备中的零日漏洞，以及其他物资，例如 UNC5266、UNC5291、UNC5325、UNC5330、UNC5337 和 UNC3886。

根据美国政府的评估，UNC5221还与APT27、丝绸台风和UTA0178等威胁组织存在重叠。然而，该威胁情报公司告诉The Hacker News，其本身没有足够的证据来证实这种联系。

谷歌威胁情报集团中国任务技术负责人 Dan Perez 向该图书表示：“Mandiant 追踪到 UNC5221 是一个活动集群，它多次利用存在零日漏洞的边缘设备。”

“政府宣称该集群与 APT27 之间存在联系，这似乎合情合理，但我们没有独立证据来证实。Silk Typhoon 是微软对这一活动的称呼，我们无法确定其归属。”

除了对CVE-2023-4966进行零日攻击，影响Citrix NetScaler设备之外，UNC5221还利用受感染的Cyberoam设备、QNAP设备和华硕路由器的干扰网络在入侵操作期间泄露其真实来源，微软上个月初也强调了这一点，详细介绍了Silk Typhoon的最新技巧。

该公司进一步推测，威胁行为者可能分析了 Ivanti 于 2 月发布的补丁，并找到了利用先前版本的方法，以实现针对未打补丁系统的远程代码执行。这是 UNC5221 首次定位于针对 Ivanti 设备安全漏洞的 N 日利用。

Mandiant Consulting首席技术官查尔斯·卡马卡尔（Charles Carmakal）表示：“UNC5221的最新活动凸显了与中国在全球范围内边缘有联系的间谍组织针对设备进行攻击。”

“这些参与者将继续研究安全漏洞，并为不支持 EDR 方案的企业系统开发自定义恶意软件。与中国有联系的间谍活动者的网络参与活动速度持续加快，而且这些参与者比以往任何时候都更厉害。”