Recentemente, Ivanti ha rivelato una grave vulnerabilità di sicurezza nel suo prodotto Connect Secure che è stata sfruttata attivamente. La vulnerabilità, identificata come CVE-2025-22457 con un punteggio CVSS di 9.0, riguarda un overflow del buffer basato su stack, che potrebbe permettere a un attaccante remoto non autenticato di eseguire codice arbitrario sui sistemi colpiti. Ivanti ha già rilasciato patch per affrontare questa falla nei suoi prodotti: Connect Secure, Policy Secure e ZTA Gateways.

Questa vulnerabilità ha impatti significativi su diverse versioni di prodotti Ivanti. I clienti che utilizzano versioni precedenti a 22.7R2.6 di Connect Secure, 22.7R1.4 di Policy Secure e 22.8R2.2 di ZTA Gateways devono aggiornare immediatamente per proteggere i loro sistemi. Mandiant, una società di proprietà di Google, ha confermato che questa vulnerabilità è stata sfruttata a metà marzo 2025. Gli attori della minaccia hanno utilizzato la vulnerabilità per distribuire malware come TRAILBLAZE e BRUSHFIRE.

TRAILBLAZE e BRUSHFIRE

TRAILBLAZE funge da dropper in memoria, mentre BRUSHFIRE è un backdoor passivo. Entrambi sono progettati per infiltrarsi nei sistemi senza essere rilevati, facilitando il furto di credenziali e l'esfiltrazione di dati. Il malware SPAWN è stato anch'esso utilizzato, con componenti come SPAWNSLOTH e SPAWNSNARE che manipolano i log e cifrano immagini del kernel Linux.

Origine della minaccia

La minaccia è stata attribuita a un gruppo di hacker legati alla Cina, identificato come UNC5221. Questo gruppo ha una storia di sfruttamento di falle zero-day nei dispositivi Ivanti, operando sotto vari alias come APT27 e Silk Typhoon. La loro tattica include l'uso di dispositivi compromessi per mascherare le loro operazioni, rendendo difficile tracciare la loro origine.

Misure di prevenzione e aggiornamenti

Ivanti ha sottolineato l'importanza di monitorare i server web per rilevare eventuali crash, suggerendo un reset di fabbrica per i dispositivi compromessi. L'azienda ha anche menzionato che il recente aggiornamento del febbraio 2025 per Connect Secure ha risolto diverse altre vulnerabilità critiche.

In sintesi, la vulnerabilità CVE-2025-22457 rappresenta una seria minaccia per le organizzazioni che utilizzano i prodotti Ivanti. È essenziale che le aziende aggiornino i loro sistemi e monitorino attentamente i loro dispositivi per rilevare attività sospette. L'attenzione dei gruppi di hacker cinesi verso i dispositivi edge evidenzia la necessità di rafforzare le difese di sicurezza informatica per proteggere le infrastrutture critiche.