È stata identificata una grave vulnerabilità, CVE-2025-22457, nei prodotti Ivanti Connect Secure (ICS), Pulse Connect Secure (PCS), Ivanti Policy Secure e ZTA Gateways. Si tratta di un overflow del buffer basato su stack che consente a un attaccante remoto e non autenticato di eseguire codice arbitrario sui dispositivi interessati. La falla è attualmente sfruttata attivamente da un gruppo APT (Advanced Persistent Threat) sospettato di avere legami con la Cina, denominato UNC5221, per distribuire due famiglie di malware personalizzate: TRAILBLAZE e BRUSHFIRE, con l’obiettivo di ottenere accesso persistente e penetrazione profonda nella rete.
ID CVE: CVE-2025-22457
Punteggio CVSS: 9.0 (Critico)
Prodotti interessati:
Ivanti Connect Secure (ICS) versioni 22.7R2.5 e precedenti
Pulse Connect Secure (PCS) versioni 9.1R18.9 e precedenti (fine supporto al 31 dicembre 2024)
Ivanti Policy Secure versioni 22.7R1.3 e precedenti
ZTA Gateways versioni 22.8R2 e precedenti
Tipo di vulnerabilità: overflow del buffer basato su stack → esecuzione di codice remoto (RCE)
Stato di sfruttamento: attivamente sfruttata nel mondo reale
La vulnerabilità risiede nel modo in cui i prodotti Ivanti interessati gestiscono input specifici, causando un overflow del buffer sullo stack. Inviando richieste appositamente costruite, gli attaccanti possono sovrascrivere aree critiche della memoria ed eseguire codice arbitrario con privilegi elevati. L’exploit non richiede autenticazione, il che lo rende particolarmente pericoloso per i dispositivi esposti su internet.
TRAILBLAZE
Tipo: dropper in memoria
Funzionalità:
Inietta il backdoor BRUSHFIRE direttamente nella memoria dei processi attivi per evitare il rilevamento
BRUSHFIRE
Tipo: backdoor passivo
Funzionalità:
Fornisce accesso persistente ai dispositivi compromessi
Facilita il furto di credenziali e ulteriori intrusioni nella rete
Esecuzione remota di codice non autenticato:
Gli attaccanti possono ottenere il pieno controllo del dispositivo vulnerabile senza necessità di credenziali valide
Distribuzione di malware persistente:
Lo sfruttamento consente l’installazione dei malware TRAILBLAZE e BRUSHFIRE per garantire accesso e controllo a lungo termine
Furto di credenziali e compromissione della rete:
Il malware distribuito permette agli attaccanti di raccogliere informazioni sensibili e muoversi lateralmente all’interno della rete
Patch immediate:
Ivanti Connect Secure (ICS):
Aggiornare alla versione 22.7R2.6 o successiva
Pulse Connect Secure (PCS):
Poiché PCS 9.x è fuori supporto, contattare Ivanti per la migrazione a una piattaforma supportata
Ivanti Policy Secure:
Aggiornare alla versione 22.7R1.4, disponibile dal 21 aprile 2025
ZTA Gateways:
Aggiornare alla versione 22.8R2.2, disponibile dal 19 aprile 2025
Rilevamento e monitoraggio:
Integrity Checker Tool (ICT):
Utilizzare l’ICT esterno di Ivanti per individuare segnali di compromissione
Monitorare crash del server web e dump di memoria imprevisti associati ai processi web
Analisi dei log:
Esaminare i log per anomalie, in particolare eventi relativi a processi web e autenticazioni
Risposta agli incidenti:
Se vengono rilevati segnali di compromissione:
Effettuare un reset di fabbrica del dispositivo
Riconfigurare il dispositivo utilizzando la versione aggiornata e corretta
Segmentazione della rete e controllo degli accessi:
Limitare l’accesso alle interfacce di gestione dei dispositivi interessati solo alle reti fidate
Implementare una solida segmentazione della rete per limitare il movimento laterale degli attaccanti
Ivanti:
Ha rilasciato patch e linee guida di mitigazione per i prodotti interessati
Raccomanda l’applicazione immediata degli aggiornamenti e il monitoraggio tramite l’ICT
Mandiant (Google):
Attribuisce lo sfruttamento al gruppo APT UNC5221, sospettato di legami con la Cina
Raccomanda un monitoraggio avanzato per individuare segni dei malware TRAILBLAZE e BRUSHFIRE
CVE-2025-22457 rappresenta un rischio significativo per le organizzazioni che utilizzano i prodotti Ivanti interessati.
Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
Security-update-pulse-connect-secure-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways
Rapid7_blog_post
China-nexus-exploiting-critical-ivanti-vulnerability
Ivanti-vpn-customers-targeted-via-unrecognized-rce-vulnerability-cve-2025-22457
Se sei preoccupato per una delle minacce indicate in questo bollettino o hai bisogno di assistenza per capire quali misure adottare per proteggere la tua organizzazione dalle minacce più rilevanti, contatta il tuo account manager oppure mettiti in contatto con noi per scoprire come possiamo aiutarti a proteggere la tua organizzazione.