Ivanti ha revelado los detalles de una vulnerabilidad de seguridad crítica ahora empapada que afecta a su seguro de conexión que ha sido de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-22457 (Puntuación CVSS: 9.0), se refiere a un caso de un desbordamiento de búfer basado en pila que podría explotarse para ejecutar código arbitrario en los sistemas afectados.
«Un desbordamiento de búfer basado en pila en Ivanti Connect Secure antes de la versión 22.7R2.6, la política Ivanti segura antes de la versión 22.7R1.4 y las puertas de Ivanti ZTA antes de la versión 22.8R2.2 permite que un atacante remoto no autorenticado logre una ejecución de código remoto», dijo Ivanti en una alerta lanzada el jueves.
El defecto afecta los siguientes productos y versiones –
- Ivanti Connect Secure (versiones 22.7R2.5 y anteriores) – Se corrigió en la versión 22.7R2.6 (parche lanzado el 11 de febrero de 2025)
- Pulse Connect Secure (versiones 9.1R18.9 y anteriores): fijado en la versión 22.7R2.6 (comuníquese con Ivanti para migrar a medida que el dispositivo ha alcanzado el fin de apoyo al 31 de diciembre de 2024)
- Ivanti Policy Secure (versiones 22.7R1.3 y anteriores) – Se corrigió en la versión 22.7R1.4 (estará disponible el 21 de abril)
- Gateways de ZTA (versiones 22.8R2 y anteriores): fijado en la versión 22.8R2.2 (estará disponible el 19 de abril)
La compañía dijo que es consciente de un «número limitado de clientes» cuya conexión se han explotado los electrodomésticos seguros seguros y finales de apoyo. No hay evidencia de que la política segura o las puertas de entrada de ZTA hayan sido objeto de abuso en el desarrollo.
«Los clientes deben monitorear sus TIC externos y buscar bloqueos de servidor web», señaló Ivanti. «Si su resultado de la TIC muestra signos de compromiso, debe realizar un reinicio de fábrica en el aparato y luego volver a colocar el aparato en producción utilizando la versión 22.7R2.6».
Vale la pena mencionar aquí que Connect Secure versión 22.7R2.6 también abordó múltiples vulnerabilidades críticas (CVE-2024-38657, CVE-2025-22467 y CVE-2024-10644) que podrían permitir a un atacante autenticado remoto a escribir archivos arbitrarios y ejecutar código arbitrario.
Mandiant, propiedad de Google, en un boletín propio, dijo que observó evidencia de explotación de CVE-2025-22457 a mediados de marzo de 2025, permitiendo a los actores de amenaza entregar un gotero en memoria llamado Trailblaze, un pasivo Backenamed Fire y el suite de malware del espalda.
La cadena de ataque esencialmente implica el uso de un gotero de script de shell de varias etapas para ejecutar TrailBlaze, que luego inyecta el incendio de pincel directamente en la memoria de un proceso web en ejecución en un intento de evitar la detección. La actividad de explotación está diseñada para establecer el acceso persistente de puerta trasera en los electrodomésticos comprometidos, potencialmente permitiendo el robo de credenciales, una intrusión de red adicional y la exfiltración de datos.
El ecosistema de malware de Spawn incluye los componentes a continuación –
- Spawnshoth, una utilidad de manipulación de registro que puede deshabilitar el registro y deshabilitar el reenvío de registro a un servidor syslog externo cuando está funcionando
- Spawnsnare, un programa basado en C que se utiliza para extraer la imagen de núcleo de Linux sin comprimir (vmlinux) en un archivo y encriptarlo con AES
- Spawnwave, una versión mejorada de Spawnant que combina varios elementos de Spawn (superposiciones con SpawnChimera y resurge)
El uso de Spawn se atribuye a un adversario de China-Nexus rastreado como UNC5221, que tiene un historial de aprovechamiento de fallas de día cero en dispositivos Ivanti Connect Secure (ICS), junto con otros grupos como UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 y UNC3886.
UNC5221, según el gobierno de los Estados Unidos, también se ha evaluado que compartan superposiciones con grupos de amenazas como APT27, Typhoon de Silk y UTA0178. Sin embargo, la firma de inteligencia de amenazas le dijo a Hacker News que no tiene suficiente evidencia por sí solo para confirmar esta conexión.
«Mandiant rastrea UNC5221 como un clúster de actividad que ha explotado repetidamente dispositivos de borde con vulnerabilidades de día cero», dijo la publicación Dan Pérez, líder técnico de la misión de China, Google Threat Intelligence Group.
«El vínculo entre este clúster y el apt27 hecho por el gobierno es plausible, pero no tenemos evidencia independiente para confirmar. El tifón de seda es el nombre de Microsoft para esta actividad, y no podemos hablar con su atribución».
Además de realizar la explotación de día cero de CVE-2023-4966, que afecta a los dispositivos NetScaler de Citrix, UNC5221 ha aprovechado una red de ofuscación de electrodomésticos de ciberónimo de Cyberoam, dispositivos QNAP y enrutadores de ASUS para enmascarar su verdadera fuente durante las operaciones de intrusión, un aspecto también destacado por el mes de Microsoft, el mes pasado, detallando los últimos typhoon.
La compañía teorizó además que el actor de amenazas probablemente analizó el parche de febrero publicado por Ivanti y descubrió una forma de explotar versiones anteriores para lograr la ejecución de código remoto contra los sistemas sin parpadear. El desarrollo marca la primera vez que UNC5221 se ha atribuido a la explotación del día N de un defecto de seguridad en los dispositivos Ivanti.
«Esta última actividad de UNC5221 subraya la orientación continua de los dispositivos EDGE a nivel mundial por los grupos de espionaje de China-Nexus», dijo Charles Carmakal, Mandiant Consulting CTO.
«Estos actores continuarán investigando vulnerabilidades de seguridad y desarrollan malware personalizado para sistemas empresariales que no admiten soluciones EDR. La velocidad de la actividad de intrusión cibernética por parte de los actores de espionaje de China-Nexus continúa aumentando y estos actores son mejores que nunca».
Actualizar
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), el 4 de abril de 2025, agregó CVE-2025-22457 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias federales apliquen las soluciones antes del 11 de abril de 2025, a Safeguard contra los esfuerzos de explotación activa.
La agencia también ha recomendado a los clientes que realicen un reinicio de fábrica de los electrodomésticos «para el más alto nivel de confianza», aislar y desconectar las instancias afectadas de la red en caso de compromiso y rotar contraseñas.
«Las organizaciones vitales hacen su propio análisis y que la industria continúa revisando las vulnerabilidades y su explotabilidad e impacto de forma independiente al tomar decisiones de riesgo», dijo el CEO de WatchToWR, Benjamin Harris.
