ثغرة أمنية خطيرة في Ivanti تُستغل بنشاط لنشر برمجيات خبيثة TRAILBLAZE وBRUSHFIRE

ثغرة أمنية خطيرة في Ivanti تُستغل بنشاط لنشر برمجيات خبيثة TRAILBLAZE وBRUSHFIRE
ثغرة أمنية خطيرة في Ivanti تُستغل بنشاط لنشر برمجيات خبيثة TRAILBLAZE وBRUSHFIRE
شارك هذا الخبر

كشفت شركة Ivanti عن تفاصيل ثغرة أمنية حرجة تم تصحيحها مؤخرًا في منتجها Connect Secure، والتي تم استغلالها بنشاط لتنفيذ هجمات إلكترونية معقدة.

تحذيرات أمنية وتوصيات عاجلة من Ivanti

أكدت الشركة وجود عدد محدود من العملاء الذين تم استهداف أجهزتهم بالفعل، خاصة من خلال أجهزة Connect Secure وPulse Connect Secure التي لم تعد مدعومة. لم يتم رصد أي استغلال فعلي بعد لأجهزة Policy Secure أو ZTA Gateways.

التوصيات:

  • مراقبة خوادم الويب الخارجية لرصد أية أعطال أو مؤشرات على الاختراق.

  • إجراء إعادة ضبط المصنع للأجهزة المتأثرة.

  • تثبيت الإصدار المحدث 22.7R2.6 فورًا لضمان الحماية.

استغلال نشط لنشر برمجيات خبيثة متطورة: TRAILBLAZE وBRUSHFIRE

بحسب تقرير صادر عن Mandiant (تابعة لـ Google)، تم رصد هجمات في منتصف مارس 2025 استغلت هذه الثغرة الأمنية لتثبيت:

  • TRAILBLAZE: أداة تخفي محملة داخل الذاكرة (In-Memory Dropper).

  • BRUSHFIRE: باب خلفي غير نشط (Passive Backdoor) يتم حقنه في الذاكرة.

  • SPAWN: حزمة برمجيات خبيثة متكاملة تتضمن أدوات متقدمة.

مكونات حزمة SPAWN:

  • SPAWNSLOTH: أداة تعطيل سجلات النظام وإخفاء الأنشطة.

  • SPAWNSNARE: برنامج بلغة C لتشفير نواة لينكس (vmlinux) باستخدام AES.

  • SPAWNWAVE: نسخة محسنة من SPAWNANT بخصائص مدمجة إضافية.

الفاعل وراء الهجمات: UNC5221 المرتبط بالصين

تشير البيانات إلى أن المجموعة UNC5221 – المرتبطة بجهات تهديد صينية مثل APT27 وSilk Typhoon – تقف وراء الاستغلال.

صرّح تشارلز كارماكال (CTO في Mandiant):
“يعكس هذا النشاط تركيز جهات التهديد الصينية على استغلال أجهزة الحافة Edge Devices لتجاوز أنظمة الكشف الأمني.”

وتشير Mandiant إلى أن UNC5221 اعتمدت على تحليل تحديث Ivanti الصادر في فبراير 2025 لاكتشاف إمكانية استغلال الإصدارات الأقدم (استغلال ما يعرف بـ N-Day بدلاً من Zero-Day).

أنشطة متقدمة للإخفاء والتضليل

كما استغلت المجموعة شبكة مموهة تشمل:

  • أجهزة Cyberoam المخترقة

  • أجهزة تخزين QNAP

  • موجّهات ASUS

لإخفاء مصدر الهجمات وتضليل أدوات الرصد الأمني.

استجابة عاجلة من CISA

أعلنت وكالة الأمن السيبراني الأمريكية (CISA)، بتاريخ 4 أبريل 2025، عن إدراج الثغرة CVE-2025-22457 في قائمة الثغرات المستغلة المعروفة (KEV)، مطالبة جميع الوكالات الفيدرالية بتطبيق التصحيحات بحلول 11 أبريل 2025.

كما أوصت CISA بما يلي:

  • عزل الأجهزة المتأثرة عن الشبكة في حال رصد مؤشرات اختراق.

  • تدوير كلمات المرور.

  • التحقق من سلامة الأنظمة بعد التحديث.

وتشكل ثغرة Ivanti CVE-2025-22457 خطرًا أمنيًا كبيرًا بسبب استغلالها النشط من قبل جهات تهديد متقدمة، ويُعد تحديث الأنظمة واستعادتها خطوة عاجلة لحماية البنية التحتية الرقمية من البرمجيات الخبيثة مثل TRAILBLAZE وBRUSHFIRE.

 

وسوم
محمد وهبى
محمد وهبى
المقالات: 138

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة