الكشف عن ثغرة أمنية جديدة تستهدف أجهزة Ivanti

الكشف عن ثغرة أمنية جديدة تستهدف أجهزة Ivanti
الكشف عن ثغرة أمنية جديدة تستهدف أجهزة Ivanti
شارك هذا الخبر

كشفت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن برنامج ضار جديد يُدعى RESURGE، والذي تم نشره ضمن أنشطة استغلال ثغرة أمنية تم إصلاحها حديثًا في أجهزة Ivanti Connect Secure (ICS).

وقالت الوكالة: “يحتوي RESURGE على ميزات من برنامج SPAWNCHIMERA الضار، بما في ذلك القدرة على البقاء بعد إعادة التشغيل، ولكنه يحتوي أيضًا على أوامر مميزة تغير من سلوكه.” وأضافت: “يحتوي الملف على إمكانيات rootkit، وdropper، وbackdoor، وbootkit، وproxy، وtunneler.”

تفاصيل الثغرة الأمنية CVE-2025-0282

ترتبط هذه البرمجية الخبيثة بالثغرة الأمنية CVE-2025-0282، وهي ثغرة تدفق مخزن مؤقت قائم على المكدس تؤثر على أجهزة Ivanti Connect Secure وPolicy Secure وZTA Gateways، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بُعد.

الإصدارات المتأثرة:

  • Ivanti Connect Secure قبل الإصدار 22.7R2.5
  • Ivanti Policy Secure قبل الإصدار 22.7R1.2
  • Ivanti Neurons for ZTA Gateways قبل الإصدار 22.7R2.3

وفقًا لشركة Mandiant المملوكة لشركة Google، تم استغلال CVE-2025-0282 لنشر بيئة برمجيات ضارة تُعرف باسم SPAWN، والتي تتكون من عدة مكونات، مثل SPAWNANT وSPAWNMOLE وSPAWNSNAIL. وتم ربط هذه الأنشطة بمجموعة تجسس إلكتروني صينية تُعرف باسم UNC5337.

تحديثات على البرمجية الخبيثة SPAWNCHIMERA

في الشهر الماضي، كشف JPCERT/CC أن هذه الثغرة قد تم استخدامها لنشر نسخة محدثة من SPAWN تُعرف باسم SPAWNCHIMERA، والتي دمجت جميع الوحدات المختلفة في برنامج ضار واحد، مع تحسين آليات الاتصال بين العمليات عبر UNIX domain sockets.

ومن بين الميزات البارزة في الإصدار الجديد أنه يقوم بإصلاح ثغرة CVE-2025-0282 لمنع الجهات الفاعلة الأخرى من استغلالها.

ميزات جديدة في برمجية RESURGE

تُعد RESURGE (المعروفة أيضًا باسم libdsupgrade.so) نسخة محسنة من SPAWNCHIMERA، حيث تدعم ثلاثة أوامر جديدة:

  1. إدراج نفسها في “ld.so.preload”، وإعداد Web Shell، والتلاعب بفحوصات السلامة، وتعديل الملفات.
  2. استخدام Web Shell لجمع بيانات الاعتماد، وإنشاء الحسابات، وإعادة تعيين كلمات المرور، ورفع الامتيازات.
  3. نسخ Web Shell إلى قرص التمهيد النشط لأجهزة Ivanti والتلاعب بصورة boot core.

كما حددت CISA ملفات أخرى مرتبطة بهذه الأنشطة، مثل SPAWNSLOTH (liblogblock.so)، والذي يتلاعب بسجلات أجهزة Ivanti، بالإضافة إلى ملف dsmain، وهو ثنائي مخصص لنظام Linux 64-bit ELF يحتوي على برنامج نصي مفتوح المصدر لتفكيك صورة نواة غير مضغوطة (vmlinux).

استغلال ثغرة CVE-2025-0282 من قبل مجموعة تهديد أخرى

أفادت Microsoft أن CVE-2025-0282 قد استُغلت أيضًا باعتبارها ثغرة Zero-Day من قبل مجموعة تهديد إلكتروني صينية أخرى تُعرف باسم Silk Typhoon (المعروفة سابقًا باسم Hafnium).

تدابير الحماية الموصى بها

مع استمرار تحسين الجهات المهاجمة لأدواتها، من الضروري أن تقوم المؤسسات بتحديث أنظمة Ivanti إلى أحدث إصدار.

تدابير إضافية للحد من المخاطر:

  • إعادة تعيين بيانات اعتماد الحسابات ذات الامتيازات العالية والمنخفضة.
  • تدوير كلمات مرور جميع المستخدمين على النطاق المحلي والمجالات.
  • مراجعة سياسات الوصول وتعليق الامتيازات للأجهزة المتأثرة مؤقتًا.
  • مراقبة الحسابات بحثًا عن أي نشاط مشبوه.

تعد هذه الإجراءات ضرورية لمنع أي محاولات استغلال مستقبلية لهذه الثغرة وتأمين البنية التحتية الرقمية للمؤسسات.

وسوم
محمد طاهر
محمد طاهر
المقالات: 135

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة