【安全资讯】CISA警告：RESURGE恶意软件可在Ivanti设备上潜伏

概要：

美国网络安全和基础设施安全局（CISA）近日发布紧急警告，详细披露了针对Ivanti Connect Secure设备的恶意软件RESURGE。该软件利用零日漏洞CVE-2025-0282进行植入，其核心威胁在于能够在设备上长期潜伏而不被发现，直到攻击者主动连接，对关键IT基础设施构成持续性、隐蔽性极高的安全风险。

主要内容：

RESURGE恶意软件是一个32位的Linux共享对象文件（libdsupgrade.so），被描述为一个具备rootkit、bootkit、后门、投递器、代理和隧道能力的被动式命令与控制（C2）植入物。其最显著的特点是采用了网络级规避技术，它不主动向外发送信标，而是无限期等待特定的入站TLS连接，从而有效规避了网络监控。

该植入物通过挂钩‘accept()’函数，在TLS数据包到达Web服务器前进行检查，利用CRC32 TLS指纹哈希方案识别来自远程攻击者的特定连接尝试。攻击者还使用伪造的Ivanti证书进行身份验证，以伪装成合法服务器，进一步逃避检测。验证通过后，攻击者通过基于椭圆曲线协议的相互TLS会话建立与植入物的安全远程访问。

此外，RESURGE还包含名为liblogblock.so的SpawnSloth恶意软件变种，用于篡改日志以隐藏恶意活动；以及一个内核提取脚本dsmain，用于解密、修改和重新加密核心引导固件映像，实现启动级持久化。CISA指出，由于这种潜伏特性，RESURGE可能在Ivanti设备上休眠且未被发现，构成持续活跃威胁。该机构已更新入侵指标（IoCs），建议系统管理员利用其进行检测和清除。