Logo CyberCare - cybersécurité
Devis sous 24h
Logo CyberCare - cybersécurité
Linkedin Instagram Facebook Tiktok X-twitter
Devis sous 24h

Cybermenace RESURGE : une faille critique cible Ivanti

Cybermenace RESURGE : une faille critique cible Ivanti
Par / 30 mars 2025 / Actualités

Une nouvelle cybermenace inquiétante cible les équipements Ivanti Connect Secure. Baptisé malware RESURGE, ce logiciel malveillant exploite une faille de sécurité critique identifiée comme CVE-2025-0282, affectant les versions obsolètes des produits Ivanti. Ce malware évolué, capable d’agir comme rootkit, bootkit et backdoor, pourrait être utilisé dans des campagnes de cyberespionnage d’envergure. Voici les détails de cette attaque sophistiquée, son fonctionnement et les mesures à prendre pour vous protéger.

Une faille critique dans les appliances Ivanti

Vulnérabilité CVE-2025-0282 : un point d’entrée utilisé par des groupes APT

La faille CVE-2025-0282 est une erreur de débordement de mémoire tampon basée sur la pile. Elle cible plusieurs produits Ivanti, permettant une exécution de code à distance. Les versions vulnérables sont :

  • Ivanti Connect Secure antérieur à la version 22.7R2.5
  • Ivanti Policy Secure antérieur à la version 22.7R1.2
  • Ivanti Neurons for ZTA antérieur à la version 22.7R2.3

Selon Mandiant, cette faille critique a été exploitée pour propager la menace SPAWN, un écosystème de malware en plusieurs modules utilisé notamment par le groupe de cyberespionnage chinois UNC5337. Microsoft note également des liens avec un autre groupe chinois identifié sous le nom de Silk Typhoon (anciennement Hafnium).

SPAWNCHIMERA, le prédécesseur de RESURGE

Une version précédente du malware exploitant CVE-2025-0282 est connue sous le nom de SPAWNCHIMERA. Ce maliciel intégrait déjà plusieurs fonctionnalités telles que la communication interprocessus via sockets UNIX et une capacité à patcher la faille pour bloquer l’accès à d’autres cybercriminels. Il servait ainsi non seulement à l’intrusion, mais aussi à en assurer l’exclusivité.

RESURGE : une évolution sophistiquée du malware

Fonctionnalités avancées du malware RESURGE

Le nouveau malware baptisé RESURGE reprend les capacités de SPAWNCHIMERA avec des évolutions significatives. Identifié comme libdsupgrade.so sur les systèmes compromis, RESURGE agit comme un dropper, rootkit, tunnelier, et bootkit. Il prend en charge trois nouvelles commandes particulièrement dangereuses :

  • Insertion dans ld.so.preload, mise en place d’un web shell et manipulation de contrôles d’intégrité
  • Utilisation du web shell pour créer des comptes, réinitialiser des mots de passe et exécuter des escalades de privilèges
  • Copie du web shell sur le disque de démarrage et altération de l’image coreboot en cours d’exécution

Nouveaux outils découverts par la CISA

La CISA a également identifié deux autres artefacts liés à RESURGE sur un appareil Ivanti ICS d’une entité d’infrastructure critique :

  • Un binaire nommé SPAWNSLOTH (liblogblock.so) qui altère les journaux système pour masquer les activités malveillantes
  • Un binaire 64 bits personnalisé contenant un script shell open-source et des applets dérivés de BusyBox, utilisé pour extraire une image noyau non compressée (vmlinux)

Ces outils renforcent la capacité de camouflage et de persistance des attaquants, leur permettant de maintenir un accès prolongé et discret aux systèmes compromis.

Mesures de sécurité face à cette cybermenace

Actions de remédiation immédiates

Les entreprises doivent appliquer sans délai les mises à jour d’Ivanti aux versions corrigées. En parallèle, il est impératif de :

  • Réinitialiser l’ensemble des mots de passe, y compris pour les comptes privilégiés
  • Modifier les mots de passe des utilisateurs de domaine et des comptes locaux
  • Supprimer temporairement les privilèges d’accès des appareils affectés
  • Contrôler les comptes à la recherche d’activités suspectes

Se former au hacking pour mieux se défendre

Face à la montée en puissance de malwares avancés comme RESURGE, une meilleure compréhension des techniques utilisées par les attaquants peut faire la différence. Nous recommandons la lecture du livre pour hacker, un guide pratique pour apprendre à hacker et comprendre les modes opératoires des menaces réelles. Un excellent moyen pour les professionnels de la sécurité de renforcer leur posture préventive.

Chez CyberCare, nos services en cybersécurité protègent activement les infrastructures contre les menaces comme RESURGE grâce à une veille technique permanente, des audits réguliers et des solutions de détection personnalisées.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

logo cybercare horizontal blanc

Votre partenaire de confiance en cybersécurité, CyberCare protège ce qui compte le plus pour votre entreprise. Nous veillons sur vos données 24/7, afin que vous puissiez vous concentrer sur votre succès.

Nos Services

Conseil en cybersécurité
Audit de sécurité
Surveillance EDR
Protection Antivirus

Pages

CyberNews
Nos Services
Contact
Guides
Livre pour apprendre à hacker

Contactez-nous

Liens

Plan du site

Mentions légales

Politiques de confidentialité

Politique de retour

Sitemap

Linkedin Instagram Facebook Tiktok X-twitter
CyberCare @2024 all right reserved