Ivanti ha revelado los detalles de una vulnerabilidad de seguridad crítica ahora empapada que afecta a su seguro de conexión que ha sido de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-22457 (Puntuación CVSS: 9.0), se refiere a un caso de un desbordamiento de búfer basado en pila que podría explotarse para ejecutar código arbitrario en los sistemas afectados.
«Un desbordamiento de búfer basado en pila en Ivanti Connect Secure antes de la versión 22.7R2.6, la política Ivanti segura antes de la versión 22.7R1.4 y las puertas de Ivanti ZTA antes de la versión 22.8R2.2 permite que un atacante remoto no autorenticado logre una ejecución de código remoto», dijo Ivanti en una alerta lanzada el jueves.
El defecto afecta los siguientes productos y versiones –
- Ivanti Connect Secure (versiones 22.7R2.5 y anteriores) – Se corrigió en la versión 22.7R2.6 (parche lanzado el 11 de febrero de 2025)
- Pulse Connect Secure (versiones 9.1R18.9 y anteriores): fijado en la versión 22.7R2.6 (comuníquese con Ivanti para migrar a medida que el dispositivo ha alcanzado el fin de apoyo al 31 de diciembre de 2024)
- Ivanti Policy Secure (versiones 22.7R1.3 y anteriores) – Se corrigió en la versión 22.7R1.4 (estará disponible el 21 de abril)
- Gateways de ZTA (versiones 22.8R2 y anteriores): fijado en la versión 22.8R2.2 (estará disponible el 19 de abril)
La compañía dijo que es consciente de un «número limitado de clientes» cuya conexión se han explotado los electrodomésticos seguros seguros y finales de apoyo. No hay evidencia de que la política segura o las puertas de entrada de ZTA hayan sido objeto de abuso en el desarrollo.
«Los clientes deben monitorear sus TIC externos y buscar bloqueos de servidor web», señaló Ivanti. «Si su resultado de la TIC muestra signos de compromiso, debe realizar un reinicio de fábrica en el aparato y luego volver a colocar el aparato en producción utilizando la versión 22.7R2.6».
Vale la pena mencionar aquí que Connect Secure versión 22.7R2.6 también abordó múltiples vulnerabilidades críticas (CVE-2024-38657, CVE-2025-22467 y CVE-2024-10644) que podrían permitir a un atacante autenticado remoto a escribir archivos arbitrarios y ejecutar código arbitrario.
Mandiant, propiedad de Google, en un boletín propio, dijo que observó evidencia de explotación de CVE-2025-22457 a mediados de marzo de 2025, permitiendo a los actores de amenaza entregar un gotero en memoria llamado Trailblaze, un pasivo Backenamed Fire y el suite de malware del espalda.
La cadena de ataque esencialmente implica el uso de un gotero de script de shell de varias etapas para ejecutar TrailBlaze, que luego inyecta el incendio de pincel directamente en la memoria de un proceso web en ejecución en un intento de evitar la detección. La actividad de explotación está diseñada para establecer el acceso persistente de puerta trasera en los electrodomésticos comprometidos, potencialmente permitiendo el robo de credenciales, una intrusión de red adicional y la exfiltración de datos.
El uso de Spawn se atribuye a un adversario de China-Nexus rastreado como UNC5221, que tiene un historial de aprovechamiento de fallas de día cero en dispositivos Ivanti Connect Secure (ICS), junto con otros grupos como UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 y UNC3886.
UNC5221, según el gobierno de los Estados Unidos, también se ha evaluado que compartan superposiciones con grupos de amenazas como APT27, Typhoon de Silk y UTA0178. Sin embargo, la firma de inteligencia de amenazas le dijo a Hacker News que no tiene suficiente evidencia por sí solo para confirmar esta conexión.
«Mandiant rastrea UNC5221 como un clúster de actividad que ha explotado repetidamente dispositivos de borde con vulnerabilidades de día cero», dijo la publicación Dan Pérez, líder técnico de la misión de China, Google Threat Intelligence Group.
«El vínculo entre este clúster y el apt27 hecho por el gobierno es plausible, pero no tenemos evidencia independiente para confirmar. El tifón de seda es el nombre de Microsoft para esta actividad, y no podemos hablar con su atribución».
También se ha observado que UNC5221 aprovecha una red de ofuscación de electrodomésticos de ciberinúas comprometidos, dispositivos QNAP y enrutadores ASUS para enmascarar su verdadera fuente durante las operaciones de intrusión, un aspecto también destacado por Microsoft a principios del mes pasado, que detalla la última comercialización de Silk Typhoon.
La compañía teorizó además que el actor de amenazas probablemente analizó el parche de febrero publicado por Ivanti y descubrió una forma de explotar versiones anteriores para lograr la ejecución de código remoto contra los sistemas sin parpadear. El desarrollo marca la primera vez que UNC5221 se ha atribuido a la explotación del día N de un defecto de seguridad en los dispositivos Ivanti.
«Esta última actividad de UNC5221 subraya la orientación continua de los dispositivos EDGE a nivel mundial por los grupos de espionaje de China-Nexus», dijo Charles Carmakal, Mandiant Consulting CTO.
«Estos actores continuarán investigando vulnerabilidades de seguridad y desarrollan malware personalizado para sistemas empresariales que no admiten soluciones EDR. La velocidad de la actividad de intrusión cibernética por parte de los actores de espionaje de China-Nexus continúa aumentando y estos actores son mejores que nunca».