美国网络安全与基础设施安全局（CISA）就 RESURGE 恶意软件发出警告，该恶意软件针对的是 Ivanti Connect Secure（ICS）设备中的一个漏洞。

美国网络安全与基础设施安全局（CISA）发布了一份关于名为 RESURGE 的新型恶意软件的恶意软件分析报告（MAR）。这种恶意代码已被用于针对 Ivanti Connect Secure（ICS）设备中 CVE-2025-0282 漏洞的攻击。

RESURGE 恶意软件具备 SPAWNCHIMERA 恶意软件的功能，不过，它执行的独特命令会改变其行为方式。

这种恶意软件会创建 Web shell，绕过完整性检查，并修改文件。RESURGE 能够进行凭据窃取、账户创建和权限提升，将 Web shell 复制到 Ivanti 设备的启动盘，并操控核心启动镜像以实现持久化控制。

1 月，美国网络安全与基础设施安全局（CISA）将 Ivanti Connect Secure 设备的漏洞 CVE-2025-0282 列入了其已知被利用漏洞（KEV）目录。

Ivanti 的这一漏洞影响到 Ivanti Connect Secure、Policy Secure 和 ZTA Gateways。未经身份验证的攻击者可以利用该漏洞实现远程代码执行。已进行本地身份验证的攻击者则可以触发该漏洞来提升权限。

相关公告中写道：“Ivanti 已发布了一个更新，修复了 Ivanti Connect Secure、Policy Secure 和 ZTA 网关设备中的一个严重漏洞和一个高危漏洞。成功利用 CVE-2025-0282 漏洞可能会导致未经身份验证的远程代码执行。CVE-2025-0283 漏洞可能会让已进行本地身份验证的攻击者提升权限。”

该公司了解到，这一漏洞已在针对少数客户的攻击中被利用。

公告中继续写道：“在披露该漏洞时，我们知晓有少数客户的 Ivanti Connect Secure 设备受到了 CVE-2025-0282 漏洞的攻击利用。”“我们尚未发现这些漏洞在 Ivanti Policy Secure 或 ZTA 网关设备中被利用的情况。”

Ivanti 还修复了一个被追踪为 CVE-2025-0283（通用漏洞评分系统（CVSS）评分为 7.0）的高危漏洞，该漏洞可让已进行本地身份验证的攻击者提升权限。

美国网络安全与基础设施安全局（CISA）指出：“RESURGE 恶意软件与对 Ivanti Connect Secure 设备中 CVE-2025-0282 漏洞的利用有关。”

美国网络安全与基础设施安全局（CISA）将 “libdsupgrade.so”（也就是 RESURGE）识别为 Ivanti ICS 设备上的一个恶意 Linux 共享对象文件。它具备 rootkit、dropper、backdoor、bootkit、proxy 和 tunneler的功能。RESURGE 会修改文件，操控完整性检查，并安装一个持久化的 Web shell。它通过 SSH、代理和加密密钥为威胁行为者创建安全隧道，从而实现对系统的秘密访问。

美国网络安全与基础设施安全局（CISA）还提供了有关 32 位 Linux 可执行与可链接格式（ELF）二进制文件 “liblogblock.so” 的详细信息，这是一个用于篡改日志的 SPAWNSLOTH 变体恶意软件。它会分离包含 g_do_syslog_servers_exist IPC（进程间通信）密钥的共享内存，并使用 funchook（一个用于拦截函数调用的开源工具）挂钩_ZN5DSLog4File3addEPKci 函数。这种恶意软件通过删除识别信息来秘密篡改日志，使得检测变得更加困难。

美国网络安全与基础设施安全局（CISA）总结道：“第二个文件是 SPAWNSLOTH 的一个变体，包含在 RESURGE 样本中。该文件会篡改 Ivanti 设备的日志。”“第三个文件是一个定制的嵌入式二进制文件，其中包含一个开源 Shell 脚本和开源工具 BusyBox 中的一组小程序。这个开源 Shell 脚本使得能够从受攻击的内核镜像中提取未压缩的内核镜像（vmlinux）。BusyBox 让威胁行为者能够在受攻击的设备上执行各种功能，例如下载和执行有效载荷。”

文章原文链接:https://www.anquanke.com/post/id/305964