Ivanti ha lanzado actualizaciones de seguridad para parchear una vulnerabilidad crítica en su sistema Connect Secure, que fue explotada por un actor de espionaje vinculado a China para desplegar malware desde al menos mediados de marzo de 2025.
La vulnerabilidad, identificada como CVE-2025-22457, es una debilidad en el desbordamiento de búfer basada en pila que afecta a diversas versiones de Pulse Connect Secure y Ivanti Connect Secure.
Detalles de la vulnerabilidad
La vulnerabilidad afecta versiones anteriores a la 22.7R2.5 de Ivanti Connect Secure, y permite que actores remotos exploten la debilidad en ataques complejos que no requieren autenticación ni interacción del usuario.
Ivanti había parcheado inicialmente esta vulnerabilidad el 11 de febrero de 2025, pero al descubrirse que era explotable de forma remota, lanzó un parche adicional en febrero.
Malware desplegado
Mandiant y Google Threat Intelligence Group han confirmado que el grupo de espionaje vinculado a China, UNC5221, ha estado explotando la vulnerabilidad desde mediados de marzo.
Después de explotar la vulnerabilidad, los atacantes desplegaron malware nuevo como el TRAILBLAZE (un dropper en memoria) y el BRUSHFIRE (una puerta trasera pasiva).
Además, también se observó la implementación de malware ya conocido, como SPAWN, parte del ecosistema de UNC5221.
Impacto de la vulnerabilidad
La vulnerabilidad afecta a Ivanti Connect Secure y Pulse Connect Secure, plataformas utilizadas para conectar redes privadas virtuales (VPN).
Este ataque es parte de una serie de abusos de UNC5221, que ha apuntado a dispositivos de red, incluidos Ivanti y NetScaler, desde 2023.
Los atacantes han utilizado estas vulnerabilidades para obtener ejecución remota de código y comprometer dispositivos críticos.
Fechas de parcheo y medidas recomendadas
Ivanti ha parcheado Ivanti Connect Secure en la versión 22.7R2.6, que se lanzó en febrero de 2025. La versión Pulse Connect Secure 9.1R18.9 ha sido marcada como obsoleta, pero aún se pueden migrar a la versión más reciente.
Las actualizaciones de Ivanti Policy Secure y ZTA Gateways están programadas para ser lanzadas en abril de 2025.
Se recomienda a los administradores de sistemas que monitoricen sus servidores utilizando la herramienta Integrity Checker Tool (ICT), revisando posibles fallos en el servidor web.
Si se detectan signos de compromiso, deben resetear los dispositivos afectados y reinstalar la versión parcheada de Ivanti Connect Secure 22.7R2.6.