Ivanti ha divulgato i dettagli di una vulnerabilità di sicurezza critica ormai colpita che influisce sulla sua connessione sicura che è stata sottoposta a uno sfruttamento attivo in natura.
La vulnerabilità, monitorata come CVE-2025-22457 (Punteggio CVSS: 9.0), riguarda un caso di un overflow buffer basato su stack che potrebbe essere sfruttato per eseguire codice arbitrario sui sistemi interessati.
“Un overflow buffer basato su stack in Ivanti Join Safe prima della versione 22.7r2.6, Ivanti Coverage Safe prima della versione 22.7r1.4 e Ivanti Zta Gateways prima della versione 22.8r2.2 consente un aggressore remoto non autenticato per ottenere l’esecuzione del codice remoto”, Ivanti ” disse In un avviso rilasciato giovedì.
Il difetto influisce sui seguenti prodotti e versioni –
- Ivanti Join Safe (versioni 22.7r2.5 e prime) – Risolto nella versione 22.7r2.6 (patch rilasciata l’11 febbraio 2025)
- Pulse Join Safe (Versioni 9.1R18.9 e Prior)-Risolto nella versione 22.7r2.6 (contattare IVanti per migrare quando il dispositivo ha raggiunto il supporto di high quality dicembre al 31 dicembre 2024)
- Ivanti Coverage Safe (versioni 22.7r1.3 e prime) – Risolto nella versione 22.7r1.4 (sarà disponibile il 21 aprile)
- ZTA Gateways (versioni 22.8r2 e prime) – Risolto nella versione 22.8r2.2 (sarà disponibile il 19 aprile)
La compagnia disse È a conoscenza di un “numero limitato di clienti” i cui equipment sicure Join Safe e Finish-of-Assist Pulse Join sono state sfruttate. Non ci sono show che i gateway della politica sicuri o ZTA siano stati sottoposti a abusi in tutto il mondo.
“I clienti dovrebbero monitorare le loro TIC esterne e cercare arresti anomali del server Net”, ha osservato Ivanti. “Se il risultato delle TIC mostra segni di compromesso, è necessario eseguire un ripristino di fabbrica sull’equipment e quindi rimettere l’equipment in produzione utilizzando la versione 22.7r2.6.”
Vale la pena menzionare qui che collega anche la versione Safe 22.7r2.6 indirizzato Vulnerabilità critiche a number of (CVE-2024-38657, CVE-2025-22467 e CVE-2024-10644) che potrebbero consentire a un attaccante autenticato remoto di scrivere file arbitrari ed eseguire codice arbitrario.
Mandint di proprietà di Google, in a bollettino a sé stante, ha affermato di aver osservato show di sfruttamento della CVE-2025-22457 a metà marzo 2025, consentendo agli attori delle minacce di consegnare un contagocce in memoria chiamato Trailblaze, un passivo fuoco del Brushfire in codice Backdoor e la Spawn Malware Suite.
La catena di attacco prevede essenzialmente l’uso di un contagocce di sceneggiatura a più stadi per eseguire Trailblaze, che quindi inietta il fuoco del pennello direttamente nella memoria di un processo Net in esecuzione nel tentativo di eludere il rilevamento. L’attività di sfruttamento è progettata per stabilire un persistente accesso al backdoor su apparecchi compromessi, potenzialmente abilitando il furto di credenziali, ulteriori intrusioni di rete ed esfiltrazione di dati.
L’uso di spawn è attribuito a un avversario Cina-Segato tracciato come UNC5221, che ha un storia Di sfruttare Difetti a zero giorni in dispositivi Ivanti Join Safe (ICS) insieme a Altri cluster come UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 e UNC3886.
UNC5221, per il governo degli Stati Unitiè stato anche valutato per condividere sovrapposizioni con gruppi di minacce come APT27, Storm di seta e UTA0178. Tuttavia, la società di intelligence per minacce ha detto a Hacker Information che non ha show sufficienti da solo per confermare questa connessione.
“Mandiant tiene traccia dell’UNC5221 come un cluster di attività che ha ripetutamente sfruttato i dispositivi Edge con vulnerabilità a zero giorni”, ha detto alla pubblicazione Dan Perez, China Mission Technical Lead, Google Risk Intelligence Group.
“Il legame tra questo cluster e APT27 realizzato dal governo è plausibile, ma non abbiamo show indipendenti da confermare. Il tifone di seta è il nome di Microsoft per questa attività e non possiamo parlare con la loro attribuzione.”
L’UNC5221 è stato anche osservato sfruttando una rete di offuscamento di apparecchi cyberoam compromessi, dispositivi QNAP e router ASUS per mascherare la loro vera fonte durante le operazioni di intrusione, anche un aspetto evidenziato Di Microsoft all’inizio del mese scorso, in dettaglio l’ultimo traecraft di Silk Storm.
La società teorizzava inoltre che l’attore delle minacce probabilmente analizzava la patch di febbraio rilasciata da Ivanti e ha capito un modo per sfruttare le versioni precedenti al high quality di ottenere l’esecuzione del codice remoto contro i sistemi non versati. Lo sviluppo segna la prima volta che l’UNC5221 è stato attribuito allo sfruttamento di N-Day di un difetto di sicurezza nei dispositivi Ivanti.
“Questa ultima attività dell’UNC5221 sottolinea il focusing on in corso di dispositivi Edge a livello globale da parte dei gruppi di spionaggio cinese-segale”, ha affermato Charles Carmakal, CTO di consulenza mandiant.
“Questi attori continueranno a ricercare vulnerabilità della sicurezza e sviluppare malware personalizzati per i sistemi aziendali che non supportano le soluzioni EDR. La velocità dell’attività di intrusione informatica da parte degli attori di spionaggio cinese-segale continua advert aumentare e questi attori sono migliori che mai.”
