Categorias
Malwares

Descoberto Malware RESURGE: Falha Ivanti explorada com Rootkit e Shell da web

Novo malware RESURGE ataca falha Ivanti, com rootkit e shell da web, exigindo atualização imediata e medidas de segurança extras.

Vulnerabilidades críticas em switches Moxa permitem acesso não autorizado
Vulnerabilidades críticas em switches Moxa permitem acesso não autorizado

A agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) identificou um novo malware, chamado RESURGE, que está sendo usado em ataques que exploram uma falha de segurança corrigida recentemente em dispositivos Ivanti Connect Secure (ICS).

“RESURGE compartilha características com o malware SPAWNCHIMERA, como a capacidade de sobreviver a reinicializações, mas possui comandos exclusivos que alteram seu comportamento,” comunicou a agência. “O arquivo inclui funcionalidades de rootkit, dropper, backdoor, bootkit, proxy e tunneler.”

A vulnerabilidade explorada por este malware é a CVE-2025-0282, um estouro de buffer baseado em pilha que afeta gateways Ivanti Connect Secure, Policy Secure e ZTA, permitindo a execução remota de código.

Imagem com a logomarca da Ivanti

As versões afetadas são:

  • Ivanti Connect Secure antes da versão 22.7R2.5
  • Ivanti Policy Secure antes da versão 22.7R1.2
  • Ivanti Neurons para gateways ZTA antes da versão 22.7R2.3

A Mandiant, do Google, revelou que a CVE-2025-0282 é usada para distribuir o ecossistema de malware SPAWN, que inclui componentes como SPAWNANT, SPAWNMOLE e SPAWNSNAIL, associados ao grupo de espionagem chinês UNC5337. O JPCERT/CC identificou uma versão atualizada do SPAWN, chamada SPAWNCHIMERA, que reúne esses módulos e usa soquetes de domínio UNIX para comunicação entre processos. Essa variante corrigia a CVE-2025-0282, impedindo sua exploração por outros invasores.

RESURGE, ou “libdsupgrade.so”, é uma evolução do SPAWNCHIMERA com três novos comandos:

  • Inserção em “ld.so.preload”, configuração de shell da web, manipulação de verificações de integridade e modificação de arquivos.
  • Uso de shells da web para coleta de credenciais, criação de contas, redefinição de senhas e escalonamento de privilégios.
  • Cópia do shell da web para o disco de inicialização do Ivanti e manipulação da imagem coreboot.

A CISA também descobriu outros artefatos em dispositivos ICS de uma infraestrutura crítica: uma variante do SPAWNSLOTH (“liblogblock.so”) incluída no RESURGE e um binário Linux ELF de 64 bits personalizado (“dsmain”). A variante SPAWNSLOTH modifica os logs do dispositivo Ivanti, e o binário personalizado contém um script de shell e applets BusyBox, permitindo extrair uma imagem de kernel descompactada (vmlinux) de um kernel comprometido.

A CVE-2025-0282 também foi explorada como zero-day pelo grupo chinês Silk Typhoon (Hafnium), conforme relatado pela Microsoft. As últimas descobertas mostram que os invasores estão aprimorando suas táticas, tornando crucial a atualização das instâncias Ivanti para a versão mais recente.

Recomenda-se ainda:

  • Redefinir credenciais de contas privilegiadas e não privilegiadas.
  • Alterar senhas de todos os usuários do domínio e contas locais.
  • Revisar políticas de acesso e revogar privilégios de dispositivos afetados.
  • Redefinir credenciais de contas ou chaves de acesso.
  • Monitorar contas em busca de atividades suspeitas.

Por Jardeson Márcio

Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias.
Acredita que seu dia pode ser salvo por um vídeo engraçado.

Sair da versão mobile