Malware TRAILBLAZE & BRUSHFIRE Desplegado en Aplicaciones/Servicios de Ivanti

El proveedor de software IT Ivanti recientemente publicó detalles de una vulnerabilidad crítica de seguridad ahora corregida que afecta a los dispositivos VPN Ivanti Connect Secure (ICS), Pulse Connect Secure, Ivanti Policy Secure y gateways ZTA, que está siendo explotada activamente en el medio.

La vulnerabilidad, identificada como CVE-2025-22457 (puntuación CVSS de 9.0), es un desbordamiento de búfer basado en pila que permite a un atacante remoto no autenticado lograr ejecución remota de código en un sistema afectado, lo que podría llevar a un compromiso total del sistema. Sin embargo, este fallo fue corregido en la versión 22.7R2.6 de Ivanti Connect Secure lanzada el 11 de febrero de 2025.

“La vulnerabilidad es un desbordamiento de búfer con caracteres limitados a puntos y números, fue evaluada y determinada como no explotable como ejecución remota de código y no cumplió con los requisitos de denegación de servicio,” dijo Ivanti en un aviso de seguridad publicado el jueves.

La vulnerabilidad afecta a los siguientes productos y versiones:

| | Nombre del Producto | | Versión(es) Afectada(s) | | Versión(es) Resuelta(s) | | Disponibilidad del Parche | |

| | Ivanti Connect Secure | | 22.7R2.5 y anteriores | | 22.7R2.6 (lanzado el 11 de febrero de 2025) | | Portal de Descarga | |

| | Pulse Connect Secure (EoS) | | 9.1R18.9 y anteriores | | 22.7R2.6 | | Contactar a Ivanti para migrar | |

| | Ivanti Policy Secure | | 22.7R1.3 y anteriores | | 22.7R1.4 | | 21 de abril | |

| | Gateways ZTA | | 22.8R2 y anteriores | | 22.8R2.2 | | 19 de abril | |

Ivanti dijo que es consciente de un “número limitado de clientes” que utilizan Ivanti Connect Secure (22.7R2.5 y anteriores) y Pulse Connect Secure 9.1x, dispositivos que llegaron al final de su vida útil en diciembre de 2024, que han sido explotados. Agregó que no tiene conocimiento de ninguna explotación de Policy Secure o gateways ZTA en el medio hasta la divulgación.

“Los clientes deben monitorear su ICT externo y buscar caídas de servidores web. Si su resultado de ICT muestra signos de compromiso, debe realizar un restablecimiento de fábrica en el dispositivo y luego volver a poner el dispositivo en producción utilizando la versión 22.7R2.6,” agregó la empresa.

Tras la divulgación por parte de Ivanti, Mandiant, propiedad de Google, publicó una entrada de blog separada con detalles de hallazgos adicionales de la vulnerabilidad CVE-2025-22457, posterior a la explotación.

Según Mandiant, la primera instancia conocida de explotación de CVE-2025-22457 se observó a mediados de marzo de 2025, que se cree fue llevada a cabo por un grupo de espionaje vinculado a China, UNC5221, que tiene un historial de explotación de vulnerabilidades de día cero en los productos de Ivanti desde 2023. UNC5221 ha aprovechado previamente tres vulnerabilidades de día cero: CVE-2025-0282, CVE-2023-46805 y CVE-2024-21887.

Mantente Seguro

Mientras tanto, Mandiant ha instado encarecidamente a las organizaciones a aplicar el parche disponible de inmediato actualizando los dispositivos Ivanti Connect Secure (ICS) a la versión 22.7R2.6 o posterior para abordar la vulnerabilidad CVE-2025-22457.

Además, sugiere que las organizaciones utilicen la Herramienta de Verificación de Integridad externa e interna (“ICT”) y se pongan en contacto con el Soporte de Ivanti si se detecta alguna actividad sospechosa.