Se ha identificado una vulnerabilidad crítica, CVE-2025-22457, en Ivanti Connect Secure (ICS), Pulse Connect Secure (PCS), Ivanti Policy Secure y ZTA Gateways. Esta vulnerabilidad, basada en un desbordamiento de búfer en la pila, permite a atacantes remotos y no autenticados ejecutar código arbitrario en los dispositivos afectados. Actualmente, esta falla está siendo explotada activamente por un grupo de amenazas persistentes avanzadas (APT) presuntamente vinculado a China, denominado UNC5221, con el objetivo de desplegar dos familias de malware personalizadas: TRAILBLAZE y BRUSHFIRE, que permiten acceso persistente e intrusión profunda en la red.

detalles de la vulnerabilidad:

  • ID CVE: CVE-2025-22457

  • Puntuación CVSS: 9.0 (Crítica)

  • Productos afectados:

    • Ivanti Connect Secure (ICS) versiones 22.7R2.5 y anteriores

    • Pulse Connect Secure (PCS) versiones 9.1R18.9 y anteriores (Fin de soporte desde el 31 de diciembre de 2024)

    • Ivanti Policy Secure versiones 22.7R1.3 y anteriores

    • ZTA Gateways versiones 22.8R2 y anteriores

  • Tipo de vulnerabilidad: desbordamiento de búfer basado en pila → ejecución remota de código (RCE)

  • Estado de explotación: explotada activamente en entornos reales

mecanismo de explotación:

La vulnerabilidad se encuentra en la forma en que los productos Ivanti afectados procesan ciertos datos de entrada, lo que provoca un desbordamiento del búfer en la pila. Al enviar solicitudes especialmente diseñadas, los atacantes pueden sobrescribir regiones críticas de la memoria, permitiendo la ejecución de código arbitrario con privilegios elevados. Esta explotación no requiere autenticación, lo que la hace especialmente grave para los dispositivos expuestos a internet.

malware desplegado mediante la explotación:

  1. TRAILBLAZE

    • Tipo: dropper en memoria

    • Funcionalidad:

      • Inyecta el backdoor BRUSHFIRE directamente en la memoria de procesos en ejecución para evitar su detección

  2. BRUSHFIRE

    • Tipo: backdoor pasivo

    • Funcionalidad:

      • Proporciona acceso persistente a los dispositivos comprometidos

      • Facilita el robo de credenciales y la intrusión lateral en la red

impacto:

  1. Ejecución remota de código sin autenticación:

    • Los atacantes pueden tomar control total del dispositivo afectado sin necesidad de credenciales válidas

  2. Despliegue de malware persistente:

    • La explotación exitosa permite la instalación de los malware TRAILBLAZE y BRUSHFIRE para mantener el acceso y el control a largo plazo

  3. Robo de credenciales y compromiso de red:

    • El malware desplegado permite a los atacantes recopilar información sensible, incluidas credenciales, y desplazarse lateralmente dentro de la red

recomendaciones para mitigación:

  1. Aplicación inmediata de parches:

    • Ivanti Connect Secure (ICS):

      • Actualizar a la versión 22.7R2.6 o posterior

    • Pulse Connect Secure (PCS):

      • Como PCS 9.x ya no tiene soporte, contactar con Ivanti para migrar a una plataforma compatible

    • Ivanti Policy Secure:

      • Actualizar a la versión 22.7R1.4, disponible a partir del 21 de abril de 2025

    • ZTA Gateways:

      • Actualizar a la versión 22.8R2.2, disponible a partir del 19 de abril de 2025

  2. Detección y monitorización:

    • Herramienta de comprobación de integridad (ICT):

      • Ejecutar la ICT externa de Ivanti para detectar signos de compromiso

      • Monitorizar posibles fallos del servidor web y volcados de memoria inusuales asociados a procesos web

    • Análisis de registros:

      • Revisar los registros en busca de anomalías, especialmente relacionadas con procesos web y eventos de autenticación

  3. Respuesta ante incidentes:

    • Si se detectan señales de compromiso:

      • Realizar un restablecimiento de fábrica del dispositivo

      • Reconfigurar el equipo con la versión actualizada y parcheada

  4. Segmentación de red y control de accesos:

    • Restringir el acceso a las interfaces de gestión de los dispositivos afectados solo a redes de confianza

    • Implementar una segmentación de red robusta para limitar los movimientos laterales de los atacantes

recomendaciones del proveedor y de la comunidad de seguridad:

  • Ivanti:

    • Ha publicado parches y guías de mitigación para los productos afectados

    • Recomienda aplicar las actualizaciones de inmediato y utilizar la ICT para la monitorización

  • Mandiant (Google):

    • Atribuye la explotación al grupo APT UNC5221, vinculado a China

    • Recomienda una monitorización reforzada en busca de señales de las familias de malware TRAILBLAZE y BRUSHFIRE

CVE-2025-22457 representa un riesgo importante para las organizaciones que utilizan los productos Ivanti afectados.

referencias:

  • Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457

  • Security-update-pulse-connect-secure-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways

  • Rapid7_blog_post

  • China-nexus-exploiting-critical-ivanti-vulnerability

  • Ivanti-vpn-customers-targeted-via-unrecognized-rce-vulnerability-cve-2025-22457

Si te preocupa alguna de las amenazas descritas en este boletín o necesitas ayuda para determinar qué pasos tomar para proteger tu organización frente a las amenazas más relevantes, ponte en contacto con tu account manager o contáctanos para saber cómo podemos ayudarte a proteger tu organización.

 

Contact Us