CISA alerta para malware RESURGE explorando zero-day em dispositivos Ivanti
A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) emitiu um alerta formal sobre uma nova variante de malware, batizada de RESURGE, que está explorando ativamente uma vulnerabilidade zero-day crítica em dispositivos Ivanti Connect Secure, Policy Secure e ZTA Gateways. A ameaça foi identificada após análise de arquivos recuperados de um dispositivo de uma organização de infraestrutura crítica já comprometido.
Descoberta e escopo
O vetor principal de ataque é a vulnerabilidade CVE-2025-0282, um buffer overflow baseado em stack que afeta os gateways de acesso remoto seguro da Ivanti. A CISA adicionou oficialmente esta falha ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 8 de janeiro de 2025, após exploração ativa observada inicialmente em dezembro de 2024. O malware RESURGE foi encontrado em conjunto com uma variante da ferramenta de manipulação de logs SPAWNSLOTH e um binário personalizado chamado "dsmain". Juntos, esses componentes formam um kit de ataque completo: um ganha acesso, outro limpa os rastros e o último reconstroi o núcleo do sistema para manter a porta aberta.
Capacidades e persistência avançadas
O RESURGE é descrito pela CISA como um rootkit, dropper, backdoor, bootkit, proxy e tunelador em um único arquivo, identificado como "libdsupgrade.so". Ele se baseia no malware conhecido SPAWNCHIMERA, da família SPAWN, mas introduz comandos adicionais que expandem significativamente suas capacidades. Sua persistência é notável: o malware se insere no arquivo "ld.so.preload", forçando seu carregamento durante a inicialização antes de quase todos os outros processos no dispositivo. Isso lhe concede controle direto sobre o sistema desde o momento em que o dispositivo é ligado, tornando-o invisível para a maioria das ferramentas de varredura padrão.
Além disso, o RESURGE configura um web shell e o copia diretamente para o disco de boot em execução do Ivanti. Ele então modifica a imagem coreboot, que inicia o dispositivo, incorporando código em uma camada suficientemente profunda para sobreviver à maioria das reinstalações de software. A análise atualizada da CISA revelou que o malware usa certificados TLS forjados e um esquema de hash de impressão digital CRC32 para separar o tráfego comum dos comandos do atacante.
Impacto e alcance
O alcance desta ameaça é considerável. Como o Ivanti Connect Secure atua como um gateway VPN para milhares de organizações, um comprometimento bem-sucedido pode expor uma rede corporativa inteira a partir de dentro. Uma vez instalado, os atacantes podem colher credenciais, criar contas de usuário não autorizadas, redefinir senhas e escalar seus próprios privilégios — tudo sem acionar os tipos de alertas que normalmente sinalizariam uma violação.
Recomendações de mitigação
A CISA insta as organizações afetadas a realizar uma redefinição de fábrica como a etapa mais confiável para limpar a infecção. Sistemas em nuvem e virtuais devem usar uma imagem limpa externa verificada. Todas as credenciais de conta, privilegiadas e não privilegiadas, devem ser redefinidas, e a conta krbtgt que gerencia a autenticação Kerberos deve ser redefinida duas vezes devido ao seu histórico de duas senhas. As organizações devem revogar temporariamente o acesso para dispositivos afetados, revisar políticas de acesso e monitorar de perto contas administrativas em busca de sinais de atividade não autorizada. Qualquer comportamento suspeito deve ser relatado ao Centro de Operações 24/7 da CISA.