CISA، بدافزار جدیدی به نام RESURGE را بررسی کرده که به عنوان بخشی از فعالیتهای بهرهبرداری با هدف قرار دادن آسیبپذیری وصله شده با شناسه CVE-205-0282 و امتیاز 9.0 در دستگاههای Ivanti Connect Secure (ICS) تحت اکسپلویت قرار گرفته است.
این نقص سرریز بافر مبتنی بر پشته که بر روی Ivanti Connect Secure، Policy Secure و ZTA Gateways تأثیر میگذارد، میتواند منجر به اجرای کد از راه دور (RCE) شود و نسخههای زیر را تحت تأثیر قرار میدهد:
- Ivanti Connect Secure قبل از نسخه 22.7R2.5
- Ivanti Policy Secure قبل از نسخه 22.7R1.2 و
- Ivanti Neurons برای ZTA gateways قبل از نسخه 22.7R2.3
RESURGE دارای قابلیتهای بدافزار SPAWNCHIMERA از جمله راهاندازی مجدد است؛ با این حال، حاوی دستورات متمایزی است که رفتار آن را تغییر میدهد. فایل آن شامل قابلیتهای روتکیت، دراپر، دربپشتی، بوتکیت، پروکسی و تونل است. بنابر گفته Mandiant، آسیبپذیری مرتبط با استقرار بدافزار جهت ارائه اکوسیستم بدافزار SPAWN ساخته شده که شامل چندین مؤلفه مانند SPAWNANT، SPAWNMOLE و SPAWNSNAIL است. استفاده از SPAWN به گروه جاسوسی چینی UNC5337 نسبت داده شده است. شایان ذکر است که این نقص پیشتر توسط Silk Typhoon (Hafnium سابق) به عنوان روز صفر مورد سوء استفاده قرار گرفته است.
https://thehackernews.com/2025/03/resurge-malware-exploits-ivanti-flaw.html
