CISA warns that RESURGE malware can be dormant on Ivanti devices
Mis à jour :
Le malware RESURGE, une menace dormante sur les appareils Ivanti
Une alerte de la CISA met en lumière le malware RESURGE, un implant malveillant utilisé dans des attaques zero-day exploitant la vulnérabilité CVE-2025-0282 pour compromettre les appareils Ivanti Connect Secure. Ce malware se distingue par sa capacité à rester inactif et indétecté sur les systèmes ciblés, profitant de techniques sophistiquées d’évasion réseau et d’authentification pour communiquer discrètement avec les attaquants.
Initialement documenté en mars de l’année dernière, RESURGE est capable de persister même après des redémarrages, de créer des webshells pour voler des identifiants, de créer de nouveaux comptes, de réinitialiser des mots de passe et d’escalader des privilèges. Des chercheurs ont attribué l’exploitation de cette faille critique à un acteur malveillant lié à la Chine, désigné sous le nom de UNC5221.
L’implant RESURGE se présente sous la forme d’un fichier Linux Shared Object 32 bits (libdsupgrade.so). Il possède des fonctionnalités de rootkit, bootkit, backdoor, dropper, proxying et tunneling. Plutôt que de communiquer activement avec un serveur de commande et de contrôle (C2), RESURGE attend passivement une connexion TLS entrante spécifique, ce qui lui permet d’éviter la surveillance réseau.
Pour intercepter les communications, RESURGE se greffe sur la fonction accept() du processus web. Il inspecte les paquets TLS avant qu’ils n’atteignent le serveur web, recherchant des tentatives de connexion d’un attaquant distant identifiées par un schéma de hachage de empreinte TLS CRC32. Si l’empreinte ne correspond pas, le trafic est redirigé vers le serveur Ivanti légitime. L’attaquant utilise également un faux certificat Ivanti pour s’assurer qu’il communique avec l’implant et non avec le serveur web légitime, facilitant ainsi l’évasion. Ce faux certificat, envoyé en clair, peut servir de signature réseau pour détecter une compromission active.
Après validation de l’empreinte et authentification, l’attaquant établit un accès distant sécurisé à l’implant via une session TLS mutuelle chiffrée à l’aide du protocole Elliptic Curve. L’implant demande la clé EC de l’attaquant pour le chiffrement et la vérifie avec une clé CA EC codée en dur. En imitant le trafic TLS/SSH légitime, RESURGE assure furtivité et persistance.
De plus, une variante du malware SpawnSloth, nommée liblogblock.so, est intégrée à RESURGE et sert à altérer les journaux pour masquer les activités malveillantes. Un autre composant, dsmain, est un script d’extraction du noyau qui permet de déchiffrer, modifier et ré-chiffrer les images du firmware coreboot, assurant ainsi une persistance au niveau du démarrage.
CISA souligne que RESURGE peut rester dormant et indétecté sur les appareils Ivanti Connect Secure, constituant ainsi une menace active.
Points clés :
- Nature du malware : Implant malveillant sophistiqué capable de rester dormant.
- Cible : Appareils Ivanti Connect Secure.
- Mécanisme d’attaque : Exploitation de la vulnérabilité zero-day CVE-2025-0282.
- Techniques d’évasion : Passivement dormant, évasion réseau, utilisation de faux certificats, impersonation de trafic légitime.
- Capacités : Persistance après redémarrage, création de webshells, vol d’identifiants, création de comptes, réinitialisation de mots de passe, escalade de privilèges, altération des journaux, persistance au niveau du démarrage.
- Attribution : Lié à un acteur malveillant chinois (UNC5221).
Vulnérabilités :
- CVE-2025-0282 : La vulnérabilité zero-day exploitée pour l’intrusion initiale.
Recommandations :
- Utiliser les indicateurs de compromission (IoCs) mis à jour par la CISA pour détecter les infections dormantes par RESURGE.
- Procéder à la suppression du malware des appareils Ivanti compromis.