Ivanti の脆弱性 CVE-2025-0282 が標的:RESURGE という新種のマルウェアに注意

RESURGE Malware Exploits Ivanti Flaw with Rootkit and Web Shell Features

2025/03/30 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure (ICS) アプライアンスに発生した、現在は修正済みの欠陥を狙ったエクスプロイト活動の一環として展開される、RESURGE という新たなマルウェアについて明らかにした。

CISA は、「RESURGE には、再起動後も継続して悪意のアクティビティを実行する、SPAWNCHIMERA マルウェアの亜種としての機能が取り込まれている。さらに、挙動を変化させる独自のコマンドも含まれていることが確認されている。そのファイルに取り込まれた機能としては、ルートキット/ドロッパー/バックドア/ブートキット/プロキシ/トンネラーなどが揃っている」と述べている

このマルウェアの展開で悪用されるセキュリティ上の脆弱性 CVE-2025-0282 は、Ivanti の Connect Secure/Policy Secure/ZTA Gateways に影響を及ぼすものであり、スタックバッファ・オーバーフローやリモート・コード実行につながる可能性があるとされる。

影響を受けるバージョンは、以下のとおりである:

  • Ivanti Connect Secure バージョン 22.7R2.5 未満
  • Ivanti Policy Secure バージョン 22.7R1.2 未満
  • Ivanti Neurons for ZTA Gateway バージョン 22.7R2.3 未満

Google 傘下の Mandiant によると、SPAWNANT/SPAWNMOLE/SPAWNSNAIL などの複数のコンポーネントで構成される、SPAWN マルウェア・エコシステムの配信のために、CVE-2025-0282 は武器化されているという。なお、中国由来のスパイ・グループ UNC5337 により、SPAWN は配信されているようだ。

2025年2月に JPCERT/CC は、SPAWNCHIMERA と呼ばれる SPAWN の更新バージョンを配信するために、この脆弱性が悪用されていると報告している。上記の、すべてのモジュールを1つのモノリシック・マルウェアに取り込む SPAWNCHIMERA は、UNIX ドメイン・ソケットを介した容易なプロセス間通信を達成しているようだ。

この最新の亜種において、最も注目すべき点は、他の攻撃者者による CVE-2025-0282 の悪用を防ぐために、この脆弱性にパッチを当てる機能が搭載されていたことだ。

CISA によると、RESURGE (「libdsupgrade.so」) は SPAWNCHIMERA の改良版であり、以下の3つの新たなコマンドをサポートしているという:

  • “ld.so.preload” に自身を挿入し、Web シェルを設定し、整合性チェックを操作し、ファイルを変更する。
  • 資格情報収集/アカウント作成/パスワード・リセット/権限昇格のために、Web シェルを有効化する。
  • Ivanti の実行しているブート・ディスクに内に Web シェルをコピーし、実行中の coreboot イメージを操作する。

なお、不特定の重要インフラ・エンティティの ICS デバイスから、CISA が発見したものには、RESURGE 内に含まれる SPAWNSLOTH (liblogblock.so) の亜種と、カスタムな 64 Bit Linux ELF バイナリ (dsmain) という、2つのアーティファクトもあるという。

CISA は、「SPAWNSLOTH 亜種は、Ivanti デバイスのログを改竄する。その3番目のファイルは、OSS のシェル・スクリプトと BusyBox アプレットのサブセットを取り込む、エンベッド型のカスタム・バイナリである。この OSS のシェル・スクリプトにより、侵害したカーネル・イメージから、非圧縮のカーネル・イメージ (vmlinux) を抽出できる」と述べている

2025年3月に Microsoft が明らかにしたのは、Silk Typhoon (旧称 Hafnium) として追跡されている中国由来の脅威グループにより、脆弱性 CVE-2025-0282 がゼロデイとして悪用されたことだ。

最新の調査結果によると、このマルウェアの背後で操る脅威アクターは、テクノロジーの積極的な改良/再構築を行っているため、ユーザー組織にとっては、Ivanti インスタンスの最新バージョンへと向けた、パッチ適用が必須となっている。

さらなる緩和策として、以下の項目が推奨される:

  • 特権/非特権アカウントの資格情報のリセット
  • すべてのドメインとアカウントのパスワードのローテーション
  • アクセス・ポリシーの確認
  • 影響を受けるデバイスの権限の一時的な停止
  • 関連するアカウント資格情報/アクセス・キーのリセット

異常なアクティビティの兆候について、アカウントを監視することも推奨される。

この脆弱性 CVE-2025-0282 は、2月の時点で SPAWNCHIMERA による悪用が確認されていましたが、その手法が RESURGE へと進化しているという話しです。この進化からは、マルウェアが継続的に改良されていくプロジェクトのような存在であることを感じさせられます。よろしければ、以下の CVE-2025-0282 関連記事も、Ivanti で検索と併せてご参照下さい。

2025/02/21:SPAWNCHIMERA マルウェアの洗練度とは?
2025/02/16:SPAWNCHIMERA という高度なマルウェア
2025/01/18:CVE-2025-0282 を狙う CL-UNK-0979:攻撃の手法は?
2025/01/16:Ivanti の CVE-2025-0282:PoC の提供と積極的な悪用
2025/01/09:Ivanti の脆弱性 CVE-2025-0282 が CISA KEV に登録