Lỗ hổng Ivanti Zero-day bị khai thác để triển khai mã độc TRAILBLAZE & BRUSHFIRE

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
94
731 bài viết
Lỗ hổng Ivanti Zero-day bị khai thác để triển khai mã độc TRAILBLAZE & BRUSHFIRE
WhiteHat Team
Ivanti vừa công bố một lỗ hổng bảo mật nghiêm trọng – CVE-2025-22457 – ảnh hưởng đến nhiều sản phẩm phổ biến của hãng:

image.png
  • Ivanti Connect Secure (ICS VPN) – từ phiên bản 22.7R2.5 trở xuống
  • Pulse Connect Secure 9.1x (đã hết hỗ trợ)
  • Ivanti Policy Secure – trước phiên bản 22.7R1.4
  • Ivanti ZTA Gateways – trước phiên bản 22.8R2.2
- Loại lỗi: Tràn bộ đệm (stack-based buffer overflow)

- Mức độ nghiêm trọng: 9.0 CVSS (Cực kỳ nguy hiểm)

- Lỗ hổng này cho phép kẻ tấn công chưa xác thực, từ xa thực thi mã độc, chiếm toàn quyền điều khiển thiết bị. Và hiện nó đã bị khai thác ngoài thực tế. Việc khai thác CVE-2025-22457 có liên quan đến việc triển khai các họ phần mềm độc hại mới, bao gồm TRAILBLAZE và BRUSHFIRE.

Chuỗi tấn công điển hình:
  1. Khai thác CVE-2025-22457 để kích hoạt lỗi Buffer Overflow
  2. Thả shell script để xác định các tiến trình /home/bin/web dễ bị tấn công
  3. Inject TRAILBLAZE vào memory.
  4. TRAILBLAZE injects BRUSHFIRE vào "listening" web process
  5. Sử dụng SSL hooks để gửi, nhận và thực thi shellcode được mã hóa
  6. Can thiệp vào nhật ký bằng SPAWNSLOTH – làm sai lệch log
  7. Ẩn các thành phần hệ thống được mã hóa bằng SPAWNSNARE và SPAWNWAVE.
Ivanti khuyến nghị khách hàng hành động ngay lập tức tùy theo sản phẩm đang sử dụng. Các giải pháp khả dụng đối với sản phẩm:
  • Ivanti Connect Secure: Khách hàng được khuyên nên nâng cấp lên phiên bản 22.7R2.6. nếu kết quả ICT có dấu hiệu xâm phạm, nên khôi phục cài đặt gốc trên thiết bị và sau đó đưa thiết bị trở lại sản xuất bằng phiên bản 22.7R2.6.
  • Pulse Connect Secure 9.1x: Vì phiên bản này đã đến thời điểm kết thúc hỗ trợ, Ivanti khuyến nghị khách hàng liên hệ với họ để chuyển sang giải pháp được hỗ trợ.
  • Ivanti Policy Secure: Bản vá đang được phát triển và sẽ có vào ngày 21 tháng 4.
  • Ivanti ZTA Gateways: Bản vá cũng đang được phát triển và sẽ tự động được áp dụng cho các môi trường vào ngày 19 tháng 4.
Khuyến nghị dành cho quản trị viên hệ thống: Kiểm tra thiết bị có thuộc diện ảnh hưởng không. Nếu đã bị khai thác:
  • Gỡ bỏ thiết bị khỏi mạng.
  • Factory reset theo hướng dẫn của Ivanti.
  • Triển khai lại từ bản vá sạch.
  • Tăng cường giám sát lưu lượng SSL, quy trình bất thường và hoạt động đáng ngờ trên thiết bị Ivanti.
  • Đảm bảo không dùng thiết bị đã hết hỗ trợ (như Pulse 9.1x).
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Nhiều lỗ hổng đe dọa KNIME Business Hub - Cập nhật ngay!
  • Apple Backport: Vá lỗi ba lỗ hổng Zero-Day đang bị khai thác trên các thiết bị cũ
  • CISA cảnh báo việc khai thác lỗ hổng bảo mật trong Cisco Smart Licensing Utility
  • Dell vá các lỗ hổng nghiêm trọng trong Unity OS
  • Mã độc RESURGE khai thác lỗ hổng trong Ivanti với các tính năng Rootkit và Web Shell
  • CVE-2025-31103: Lỗ hổng Zero-Day nghiêm trọng trong "a-blog cms"
    • Thẻ
    brushfire ivanti trailblaze
    Bên trên