CISA เตือนภัย! แฮกเกอร์ใช้มัลแวร์ Resurge เพื่อโจมตีผ่านช่องโหว่ใน Ivanti
Last updated: 4 Apr 2025
27 Views
สรุปข้อมูล
CISA ได้ออกมาเตือนว่ากลุ่มแฮกเกอร์ UNC5337 กำลังใช้มัลแวร์ตัวใหม่ที่ชื่อ Resurge เพื่อโจมตีผ่านช่องโหว่ CVE-2025-0282 ในผลิตภัณฑ์ของ Ivanti ซึ่งเป็นช่องโหว่ร้ายแรงที่เปิดทางให้โจมตีแบบ Remote Code Execution ได้โดยไม่ต้องยืนยันตัวตน ซึ่งมัลแวร์ดังกล่าว มีความสามารถคล้ายกับมัลแวร์ SpawnChimera เนื่องจากสร้าง SSH tunnel และยังทำหน้าที่ได้หลากหลาย เช่น Rootkit, Dropper, Backdoor, Bootkit, Proxy และ Tunneler ช่วยให้แฮกเกอร์สามารถฝังตัวในระบบ ขยายการโจมตี และหลีกเลี่ยงการตรวจจับ ซึ่งช่องโหว่นี้ถูกเพิ่มเข้าไปใน Known Exploited Vulnerabilities Catalog แล้ว
รายละเอียดช่องโหว่
CVE-2025-0282 (คะแนน CVSS 9.0/10 ระดับความรุนแรง Critical) โดยช่องโหว่ดังกล่าวเกิดจาก Stack-based buffer overflow ใน Ivanti Connect Secure, Policy Secure และ ZTA ที่ทำให้แฮกเกอร์สามารถ Remote Code Execution ได้โดยไม่ต้องยืนยันตัวตน การโจมตีมีรายละเอียดดังนี้
- เริ่มแรกแฮกเกอร์จะใช้ช่องโหว่ CVE-2025-0282 เพื่อเข้าถึงระบบ Ivanti ICS ที่ทำให้แฮกเกอร์สามารถ Remote Code Execution ได้โดยไม่ต้องยืนยันตัวตน
- จากนั้นแฮกเกอร์จะส่ง SPAWN ecosystem เข้าสู่ระบบ ซึ่งประกอบด้วยหลายโมดูล เช่น SPAWNANT, SPAWNMOLE และ SPAWNSNAIL หรืออาจใช้เวอร์ชันใหม่ชื่อ SPAWNCHIMERA ที่รวมทุกโมดูลไว้ในไฟล์เดียว
- ต่อมาแฮกเกอร์จะติดตั้งมัลแวร์ RESURGE (libdsupgrade.so) ซึ่งเป็นเวอร์ชันที่พัฒนาต่อมาจาก SPAWNCHIMERA และภายในมัลแวร์ RESURGE ยังฝังโมดูล SPAWNSLOTH (liblogblock.so) ที่ใช้สำหรับแก้ไขและปลอม Log ของอุปกรณ์ Ivanti
- มัลแวร์ RESURGE เพิ่มฟีเจอร์ใหม่ 3 อย่างหลัก ๆ ได้แก่:
- แทรกตัวเองเข้าไปในไฟล์ ld.so.preload เพื่อให้ระบบโหลดมัลแวร์โดยอัตโนมัติ
- ตั้งค่า Web shell เพื่อใช้ในการขโมยรหัสผ่าน สร้างบัญชี รีเซ็ตรหัสผ่าน และยกระดับสิทธิ์
- คัดลอก Web shell ไปยัง boot disk ของ Ivanti และแก้ไข Coreboot image ที่กำลังทำงานอยู่ เพื่อให้มัลแวร์ฝังตัวอยู่ในระดับลึกของระบบ
นอกจากนี้ยังพบมัลแวร์เพิ่มเติมในระบบหลังจากติดตั้งมัลแวร์ RESURGE ได้แก่ dsmain ซึ่งเป็นไฟล์ ELF แบบ 64-bit ที่ฝังตัวมาพร้อม Shell Script และคำสั่งจาก BusyBox โดยไฟล์นี้ถูกใช้เพื่อดึง vmlinux ออกจาก kernel image ที่ถูกโจมตี
เวอร์ชันที่ได้รับผลกระทบ
- Ivanti Connect Secure เวอร์ชัน 22.7R2 ถึง 22.7R2.4
- Ivanti Policy Secure เวอร์ชัน 22.7R1 ถึง 22.7R1.2
- Ivanti Neurons for ZTA gateways เวอร์ชัน 22.7R2 ถึง 22.7R2.3
เวอร์ชันที่ได้รับการแก้ไข
- Ivanti Connect Secure เวอร์ชัน 22.7R2.5 หรือใหม่กว่า
- Ivanti Policy Secure เวอร์ชัน 22.7R1.3 หรือใหม่กว่า
- Ivanti Neurons for ZTA gateways เวอร์ชัน 22.8R2 หรือใหม่กว่า
ผลกระทบจากช่องโหว่
ช่องโหว่ CVE-2025-0282 ส่งผลกระทบรุนแรงต่อผลิตภัณฑ์ Ivanti ICS, Policy Secure และ ZTA Gateways เนื่องจากเปิดโอกาสให้แฮกเกอร์สามารถ Remote Code Execution โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งนำไปสู่การติดตั้งมัลแวร์การขโมยข้อมูล รวมถึงการยกระดับสิทธิ์โดยไม่ได้รับอนุญาต อีกทั้งช่องโหว่ดังกล่าวยังเปิดช่องทางให้แฮกเกอร์ฝังตัวอยู่ในระบบได้นานโดยไม่ถูกตรวจจับ
คำแนะนำ
- อัปเดต Ivanti Connect Secure, Policy Secure และ ZTA เป็นเวอร์ชันล่าสุด
- Factory Reset, Reset Credentials และปฏิบัติตามแนวทางการกู้คืนของ Ivanti
- จำกัดสิทธิ์การเข้าถึงและใช้งานโดยใช้หลักการ Least Privilege
- ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
- ทำการ Full-Scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์อันตราย
แหล่งอ้างอิง
https://www.darkreading.com/cyberattacks-data-breaches/cisa-warns-resurge-malware-ivanti-vuln
https://thehackernews.com/2025/03/resurge-malware-exploits-ivanti-flaw.html
Related Content
