È stata identificata una grave vulnerabilità, CVE-2025-22457, nei prodotti Ivanti Connect Secure (ICS), Pulse Connect Secure (PCS), Ivanti Policy Secure e ZTA Gateways. Si tratta di un overflow del buffer basato su stack che consente a un attaccante remoto e non autenticato di eseguire codice arbitrario sui dispositivi interessati. La falla è attualmente sfruttata attivamente da un gruppo APT (Advanced Persistent Threat) sospettato di avere legami con la Cina, denominato UNC5221, per distribuire due famiglie di malware personalizzate: TRAILBLAZE e BRUSHFIRE, con l’obiettivo di ottenere accesso persistente e penetrazione profonda nella rete.

Dettagli della vulnerabilità:

  • ID CVE: CVE-2025-22457

  • Punteggio CVSS: 9.0 (Critico)

  • Prodotti interessati:

    • Ivanti Connect Secure (ICS) versioni 22.7R2.5 e precedenti

    • Pulse Connect Secure (PCS) versioni 9.1R18.9 e precedenti (fine supporto al 31 dicembre 2024)

    • Ivanti Policy Secure versioni 22.7R1.3 e precedenti

    • ZTA Gateways versioni 22.8R2 e precedenti

  • Tipo di vulnerabilità: overflow del buffer basato su stack → esecuzione di codice remoto (RCE)

  • Stato di sfruttamento: attivamente sfruttata nel mondo reale

meccanismo di sfruttamento:

La vulnerabilità risiede nel modo in cui i prodotti Ivanti interessati gestiscono input specifici, causando un overflow del buffer sullo stack. Inviando richieste appositamente costruite, gli attaccanti possono sovrascrivere aree critiche della memoria ed eseguire codice arbitrario con privilegi elevati. L’exploit non richiede autenticazione, il che lo rende particolarmente pericoloso per i dispositivi esposti su internet.

malware distribuito tramite lo sfruttamento:

  1. TRAILBLAZE

    • Tipo: dropper in memoria

    • Funzionalità:

      • Inietta il backdoor BRUSHFIRE direttamente nella memoria dei processi attivi per evitare il rilevamento

  2. BRUSHFIRE

    • Tipo: backdoor passivo

    • Funzionalità:

      • Fornisce accesso persistente ai dispositivi compromessi

      • Facilita il furto di credenziali e ulteriori intrusioni nella rete

impatto:

  1. Esecuzione remota di codice non autenticato:

    • Gli attaccanti possono ottenere il pieno controllo del dispositivo vulnerabile senza necessità di credenziali valide

  2. Distribuzione di malware persistente:

    • Lo sfruttamento consente l’installazione dei malware TRAILBLAZE e BRUSHFIRE per garantire accesso e controllo a lungo termine

  3. Furto di credenziali e compromissione della rete:

    • Il malware distribuito permette agli attaccanti di raccogliere informazioni sensibili e muoversi lateralmente all’interno della rete

raccomandazioni per la mitigazione:

  1. Patch immediate:

    • Ivanti Connect Secure (ICS):

      • Aggiornare alla versione 22.7R2.6 o successiva

    • Pulse Connect Secure (PCS):

      • Poiché PCS 9.x è fuori supporto, contattare Ivanti per la migrazione a una piattaforma supportata

    • Ivanti Policy Secure:

      • Aggiornare alla versione 22.7R1.4, disponibile dal 21 aprile 2025

    • ZTA Gateways:

      • Aggiornare alla versione 22.8R2.2, disponibile dal 19 aprile 2025

  2. Rilevamento e monitoraggio:

    • Integrity Checker Tool (ICT):

      • Utilizzare l’ICT esterno di Ivanti per individuare segnali di compromissione

      • Monitorare crash del server web e dump di memoria imprevisti associati ai processi web

    • Analisi dei log:

      • Esaminare i log per anomalie, in particolare eventi relativi a processi web e autenticazioni

  3. Risposta agli incidenti:

    • Se vengono rilevati segnali di compromissione:

      • Effettuare un reset di fabbrica del dispositivo

      • Riconfigurare il dispositivo utilizzando la versione aggiornata e corretta

  4. Segmentazione della rete e controllo degli accessi:

    • Limitare l’accesso alle interfacce di gestione dei dispositivi interessati solo alle reti fidate

    • Implementare una solida segmentazione della rete per limitare il movimento laterale degli attaccanti

raccomandazioni del fornitore e della comunità di sicurezza:

  • Ivanti:

    • Ha rilasciato patch e linee guida di mitigazione per i prodotti interessati

    • Raccomanda l’applicazione immediata degli aggiornamenti e il monitoraggio tramite l’ICT

  • Mandiant (Google):

    • Attribuisce lo sfruttamento al gruppo APT UNC5221, sospettato di legami con la Cina

    • Raccomanda un monitoraggio avanzato per individuare segni dei malware TRAILBLAZE e BRUSHFIRE

CVE-2025-22457 rappresenta un rischio significativo per le organizzazioni che utilizzano i prodotti Ivanti interessati.

riferimenti:

  • Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457

  • Security-update-pulse-connect-secure-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways

  • Rapid7_blog_post

  • China-nexus-exploiting-critical-ivanti-vulnerability

  • Ivanti-vpn-customers-targeted-via-unrecognized-rce-vulnerability-cve-2025-22457

Se sei preoccupato per una delle minacce indicate in questo bollettino o hai bisogno di assistenza per capire quali misure adottare per proteggere la tua organizzazione dalle minacce più rilevanti, contatta il tuo account manager oppure mettiti in contatto con noi per scoprire come possiamo aiutarti a proteggere la tua organizzazione.

Contact Us