Se ha identificado una vulnerabilidad crítica, CVE-2025-22457, en Ivanti Connect Secure (ICS), Pulse Connect Secure (PCS), Ivanti Policy Secure y ZTA Gateways. Esta vulnerabilidad, basada en un desbordamiento de búfer en la pila, permite a atacantes remotos y no autenticados ejecutar código arbitrario en los dispositivos afectados. Actualmente, esta falla está siendo explotada activamente por un grupo de amenazas persistentes avanzadas (APT) presuntamente vinculado a China, denominado UNC5221, con el objetivo de desplegar dos familias de malware personalizadas: TRAILBLAZE y BRUSHFIRE, que permiten acceso persistente e intrusión profunda en la red.
ID CVE: CVE-2025-22457
Puntuación CVSS: 9.0 (Crítica)
Productos afectados:
Ivanti Connect Secure (ICS) versiones 22.7R2.5 y anteriores
Pulse Connect Secure (PCS) versiones 9.1R18.9 y anteriores (Fin de soporte desde el 31 de diciembre de 2024)
Ivanti Policy Secure versiones 22.7R1.3 y anteriores
ZTA Gateways versiones 22.8R2 y anteriores
Tipo de vulnerabilidad: desbordamiento de búfer basado en pila → ejecución remota de código (RCE)
Estado de explotación: explotada activamente en entornos reales
La vulnerabilidad se encuentra en la forma en que los productos Ivanti afectados procesan ciertos datos de entrada, lo que provoca un desbordamiento del búfer en la pila. Al enviar solicitudes especialmente diseñadas, los atacantes pueden sobrescribir regiones críticas de la memoria, permitiendo la ejecución de código arbitrario con privilegios elevados. Esta explotación no requiere autenticación, lo que la hace especialmente grave para los dispositivos expuestos a internet.
TRAILBLAZE
Tipo: dropper en memoria
Funcionalidad:
Inyecta el backdoor BRUSHFIRE directamente en la memoria de procesos en ejecución para evitar su detección
BRUSHFIRE
Tipo: backdoor pasivo
Funcionalidad:
Proporciona acceso persistente a los dispositivos comprometidos
Facilita el robo de credenciales y la intrusión lateral en la red
Ejecución remota de código sin autenticación:
Los atacantes pueden tomar control total del dispositivo afectado sin necesidad de credenciales válidas
Despliegue de malware persistente:
La explotación exitosa permite la instalación de los malware TRAILBLAZE y BRUSHFIRE para mantener el acceso y el control a largo plazo
Robo de credenciales y compromiso de red:
El malware desplegado permite a los atacantes recopilar información sensible, incluidas credenciales, y desplazarse lateralmente dentro de la red
Aplicación inmediata de parches:
Ivanti Connect Secure (ICS):
Actualizar a la versión 22.7R2.6 o posterior
Pulse Connect Secure (PCS):
Como PCS 9.x ya no tiene soporte, contactar con Ivanti para migrar a una plataforma compatible
Ivanti Policy Secure:
Actualizar a la versión 22.7R1.4, disponible a partir del 21 de abril de 2025
ZTA Gateways:
Actualizar a la versión 22.8R2.2, disponible a partir del 19 de abril de 2025
Detección y monitorización:
Herramienta de comprobación de integridad (ICT):
Ejecutar la ICT externa de Ivanti para detectar signos de compromiso
Monitorizar posibles fallos del servidor web y volcados de memoria inusuales asociados a procesos web
Análisis de registros:
Revisar los registros en busca de anomalías, especialmente relacionadas con procesos web y eventos de autenticación
Respuesta ante incidentes:
Si se detectan señales de compromiso:
Realizar un restablecimiento de fábrica del dispositivo
Reconfigurar el equipo con la versión actualizada y parcheada
Segmentación de red y control de accesos:
Restringir el acceso a las interfaces de gestión de los dispositivos afectados solo a redes de confianza
Implementar una segmentación de red robusta para limitar los movimientos laterales de los atacantes
Ivanti:
Ha publicado parches y guías de mitigación para los productos afectados
Recomienda aplicar las actualizaciones de inmediato y utilizar la ICT para la monitorización
Mandiant (Google):
Atribuye la explotación al grupo APT UNC5221, vinculado a China
Recomienda una monitorización reforzada en busca de señales de las familias de malware TRAILBLAZE y BRUSHFIRE
CVE-2025-22457 representa un riesgo importante para las organizaciones que utilizan los productos Ivanti afectados.
Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
Security-update-pulse-connect-secure-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways
Rapid7_blog_post
China-nexus-exploiting-critical-ivanti-vulnerability
Ivanti-vpn-customers-targeted-via-unrecognized-rce-vulnerability-cve-2025-22457
Si te preocupa alguna de las amenazas descritas en este boletín o necesitas ayuda para determinar qué pasos tomar para proteger tu organización frente a las amenazas más relevantes, ponte en contacto con tu account manager o contáctanos para saber cómo podemos ayudarte a proteger tu organización.