#cve_2025_0282 — Public Fediverse posts

Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
#CVE_2025_0282 #CVE_2025_0283 #UNC5337 #UNC5221 #PHASEJAM #SPAWNMOLE
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/

⚠️ Nouvelle vulnérabilité Zero-Day ciblant les VPN Ivanti Connect Secure (CVE-2025-0282)

#Mandiant a publié les premiers signes d'exploitation (avec une première attribution à UNC5337) :

🔍 Étapes courantes identifiées lors de l'exploitation :
1️⃣ Désactive SELinux
2️⃣ Bloque le transfert des journaux syslog
3️⃣ Re-monte le disque en lecture-écriture
4️⃣ Écrit un script malveillant
5️⃣ Exécuter ce script
6️⃣ Déploie un ou plusieurs web shells
7️⃣ Modifie les journaux pour cacher l'activité
8️⃣ Réactive SELinux
9️⃣ Re-monte le disque

🛑 Techniques de dissimulation post-exploitation :

• Suppression des messages kernel avec dmesg et modification des journaux de débogage.
• Effacement des dumps de l'état et des core dumps des crashs.
• Suppression des entrées liées aux échecs syslog, erreurs ICT internes, traces de crash et erreurs de certificat.
• Modification du journal d’audit SELinux pour masquer les commandes exécutées.

💡 Observations supplémentaires :

CVE-2025-0282 affecte plusieurs niveaux de patch d’ICS release 22.7R2.

Exploitation réussie dépendante de la version spécifique.

Des requêtes répétées au VPN sont observées avant exploitation, probablement pour identifier la version.

🗂️ Fichiers ciblés :
/dana-cached/hc/hc_launcher.22.7.2.2615.jar
/dana-cached/hc/hc_launcher.22.7.2.3191.jar
/dana-cached/hc/hc_launcher.22.7.2.3221.jar
/dana-cached/hc/hc_launcher.22.7.2.3431.jar

⚠️Mandiant informe avoir observé des signes d'exploitation active en nature depuis mi-décembre 2024.

"Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation"
👇
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/?hl=en

#CyberVeille #Ivanti #IoC #postexploitation
#attribution
#CVE_2025_0282 #CVE_2025_0283