CVE-2025-0282: A Falha Zero-Day do Ivanti que Abriu Portas para Hackers Chineses

A Falha que Ninguém Viu Chegar

Em janeiro de 2025, a Ivanti divulgou a CVE-2025-0282, uma vulnerabilidade de stack-based buffer overflow no Ivanti Connect Secure (ICS). CVSS: 9.0 — Crítico.

Quando a Ivanti divulgou a falha, ela já estava sendo explorada pelo grupo APT chinês UNC5337 por semanas. Um zero-day silencioso antes do patch.

Como a Vulnerabilidade Funciona

Um atacante não autenticado envia um pacote crafted para o serviço de VPN, causando overflow e permitindo execução remota de código com privilégios de root. Basta ter acesso à porta HTTPS do appliance exposto à internet.

O Que o UNC5337 Fez

1. Deployment do malware SPAWN (SPAWNANT, SPAWNMOLE, SPAWNSNAIL, SPAWNSLOTH) — backdoors e apagamento de rastros
2. Movimentação lateral com credenciais coletadas do ICS
3. Exfiltração de credenciais, tokens de sessão e dados de rede

Como Verificar Comprometimento

• Entradas não autorizadas em /home/webserver/.ssh/authorized_keys
• Processos www-data com conexões outbound suspeitas
• Tráfego para IPs asiáticos em portas não-padrão

Ações Imediatas

• Applique o patch: ICS versão 22.7R2.5 ou superior
• Execute o Integrity Checker Tool (ICT) da Ivanti
• Se comprometido: factory reset antes de reaplicar configurações
• Revogue todas as credenciais que passaram pelo ICS

VPNs são o novo perímetro corporativo. Uma VPN vulnerável é uma porta aberta para toda a rede.

A CyberZ realiza análise de vulnerabilidades focada em acesso remoto. Solicite uma avaliação.