Ivanti ha revelado los detalles de una vulnerabilidad de seguridad crítica ahora empapada que afecta a su seguro de conexión que ha sido de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-22457 (Puntuación CVSS: 9.0), se refiere a un caso de un desbordamiento de búfer basado en pila que podría explotarse para ejecutar código abusivo en los sistemas afectados.
“Un desbordamiento de búfer basado en pila en Ivanti Connect Secure antaño de la traducción 22.7R2.6, la política Ivanti segura antaño de la traducción 22.7R1.4 y las puertas de Ivanti ZTA antaño de la traducción 22.8R2.2 permite que un atacante remoto no autorenticado logre una ejecución de código remoto”, dijo Ivanti en una alerta puyazo el jueves.
El defecto afecta los siguientes productos y versiones –
- Ivanti Connect Secure (versiones 22.7R2.5 y anteriores) – Se corrigió en la traducción 22.7R2.6 (parche atrevido el 11 de febrero de 2025)
- Pulse Connect Secure (versiones 9.1R18.9 y anteriores): fijado en la traducción 22.7R2.6 (comuníquese con Ivanti para portar a medida que el dispositivo ha ajustado el fin de apoyo al 31 de diciembre de 2024)
- Ivanti Policy Secure (versiones 22.7R1.3 y anteriores) – Se corrigió en la traducción 22.7R1.4 (estará adecuado el 21 de abril)
- Gateways de ZTA (versiones 22.8R2 y anteriores): fijado en la traducción 22.8R2.2 (estará adecuado el 19 de abril)
La compañía dijo que es consciente de un “número pequeño de clientes” cuya conexión se han explotado los electrodomésticos seguros seguros y finales de apoyo. No hay evidencia de que la política segura o las puertas de entrada de ZTA hayan sido objeto de demasía en el crecimiento.
“Los clientes deben monitorear sus TIC externos y agenciárselas bloqueos de servidor web”, señaló Ivanti. “Si su resultado de la TIC muestra signos de compromiso, debe realizar un reinicio de taller en el mecanismo y luego retornar a colocar el mecanismo en producción utilizando la traducción 22.7R2.6”.
Vale la pena mencionar aquí que Connect Secure traducción 22.7R2.6 además abordó múltiples vulnerabilidades críticas (CVE-2024-38657, CVE-2025-22467 y CVE-2024-10644) que podrían permitir a un atacante autenticado remoto a escribir archivos arbitrarios y ejecutar código abusivo.
Mandiant, propiedad de Google, en un boletín propio, dijo que observó evidencia de explotación de CVE-2025-22457 a mediados de marzo de 2025, permitiendo a los actores de amenaza entregar un cuentagotas en memoria llamado Trailblaze, un pasivo Backenamed Fire y el suite de malware del espalda.
La cautiverio de ataque esencialmente implica el uso de un cuentagotas de script de shell de varias etapas para ejecutar TrailBlaze, que luego inyecta el incendio de pincel directamente en la memoria de un proceso web en ejecución en un intento de evitar la detección. La actividad de explotación está diseñada para establecer el camino persistente de puerta trasera en los electrodomésticos comprometidos, potencialmente permitiendo el robo de credenciales, una intrusión de red adicional y la exfiltración de datos.
El ecosistema de malware de Spawn incluye los componentes a continuación –
- Spawnshoth, una utilidad de manipulación de registro que puede deshabilitar el registro y deshabilitar el reenvío de registro a un servidor syslog forastero cuando está funcionando
- Spawnsnare, un software basado en C que se utiliza para extraer la imagen de núcleo de Linux sin comprimir (vmlinux) en un archivo y encriptarlo con AES
- Spawnwave, una traducción mejorada de Spawnant que combina varios utensilios de Spawn (superposiciones con SpawnChimera y resurge)
El uso de Spawn se atribuye a un adversario de China-Nexus rastreado como UNC5221, que tiene un historial de utilización de fallas de día cero en dispositivos Ivanti Connect Secure (ICS), próximo con otros grupos como UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 y UNC3886.
UNC5221, según el gobierno de los Estados Unidos, además se ha evaluado que compartan superposiciones con grupos de amenazas como APT27, Typhoon de Silk y UTA0178. Sin bloqueo, la firma de inteligencia de amenazas le dijo a Hacker News que no tiene suficiente evidencia por sí solo para confirmar esta conexión.
“Mandiant rastrea UNC5221 como un clúster de actividad que ha explotado repetidamente dispositivos de borde con vulnerabilidades de día cero”, dijo la publicación Dan Pérez, líder técnico de la representación de China, Google Threat Intelligence Group.
“El vínculo entre este clúster y el apt27 hecho por el gobierno es plausible, pero no tenemos evidencia independiente para confirmar. El tifón de seda es el nombre de Microsoft para esta actividad, y no podemos departir con su atribución”.
Adicionalmente de realizar la explotación de día cero de CVE-2023-4966, que afecta a los dispositivos NetScaler de Citrix, UNC5221 ha estudioso una red de ofuscación de electrodomésticos de ciberónimo de Cyberoam, dispositivos QNAP y enrutadores de ASUS para encubrir su verdadera fuente durante las operaciones de intrusión, un aspecto además destacado por el mes de Microsoft, el mes pasado, detallando los últimos typhoon.
La compañía teorizó adicionalmente que el actor de amenazas probablemente analizó el parche de febrero publicado por Ivanti y descubrió una forma de explotar versiones anteriores para ganar la ejecución de código remoto contra los sistemas sin parpadear. El crecimiento marca la primera vez que UNC5221 se ha atribuido a la explotación del día N de un defecto de seguridad en los dispositivos Ivanti.
“Esta última actividad de UNC5221 subraya la orientación continua de los dispositivos EDGE a nivel mundial por los grupos de espionaje de China-Nexus”, dijo Charles Carmakal, Mandiant Consulting CTO.
“Estos actores continuarán investigando vulnerabilidades de seguridad y desarrollan malware personalizado para sistemas empresariales que no admiten soluciones EDR. La velocidad de la actividad de intrusión cibernética por parte de los actores de espionaje de China-Nexus continúa aumentando y estos actores son mejores que nunca”.
