Sécurité informatique · 2 min read · Jan 25, 2026
Malmware TRAILBLAZE & BRUSHFIRE Déployé dans les Applications/Services Ivanti
Le fournisseur de logiciels IT Ivanti a récemment publié des détails sur une vulnérabilité de sécurité critique désormais corrigée affectant les appareils VPN Ivanti Connect Secure (ICS), Pulse Connect Secure, Ivanti Policy Secure et les passerelles ZTA, qui est activement exploitée dans la nature.
La vulnérabilité, identifiée comme CVE-2025-22457 (score CVSS de 9.0), est un débordement de tampon basé sur la pile qui permet à un attaquant distant non authentifié d’atteindre l’exécution de code à distance sur un système affecté, pouvant conduire à un compromis complet du système. Cependant, ce défaut a été corrigé dans la version 22.7R2.6 d’Ivanti Connect Secure publiée le 11 février 2025.
« La vulnérabilité est un débordement de tampon avec des caractères limités aux points et aux chiffres, elle a été évaluée et déterminée comme non exploitable en tant qu’exécution de code à distance et ne répondait pas aux exigences de déni de service », a déclaré Ivanti dans un avis de sécurité publié jeudi.
La vulnérabilité affecte les produits et versions suivants :
| Nom du produit | Version(s) affectée(s) | Version(s) résolue(s) | Disponibilité du correctif | |||||
| Ivanti Connect Secure | 22.7R2.5 et antérieures | 22.7R2.6 (publiée le 11 février 2025) | Portail de téléchargement | |||||
| Pulse Connect Secure (EoS) | 9.1R18.9 et antérieures | 22.7R2.6 | Contacter Ivanti pour migrer | |||||
| Ivanti Policy Secure | 22.7R1.3 et antérieures | 22.7R1.4 | 21 avril | |||||
| Passerelles ZTA | 22.8R2 et antérieures | 22.8R2.2 | 19 avril |
Ivanti a déclaré être consciente d’un « nombre limité de clients » utilisant Ivanti Connect Secure (22.7R2.5 et antérieures) et Pulse Connect Secure 9.1x, appareils qui ont atteint la fin de leur vie en décembre 2024, qui ont été exploités. Elle a ajouté qu’elle n’était pas au courant d’une exploitation de Policy Secure ou des passerelles ZTA dans la nature au moment de la divulgation.
« Les clients doivent surveiller leur ICT externe et rechercher des pannes de serveur web. Si votre résultat ICT montre des signes de compromission, vous devez effectuer une réinitialisation d’usine sur l’appareil, puis remettre l’appareil en production en utilisant la version 22.7R2.6 », a ajouté la société.
Suite à la divulgation par Ivanti, Mandiant, propriété de Google, a publié un article de blog séparé avec des détails sur des découvertes supplémentaires concernant la vulnérabilité CVE-2025-22457, après exploitation.
Selon Mandiant, le premier cas connu d’exploitation de CVE-2025-22457 a été observé à la mi-mars 2025, considéré comme mené par un groupe d’espionnage lié à la Chine, UNC5221, qui a un historique d’exploitation de vulnérabilités zero-day dans les produits d’Ivanti depuis 2023. UNC5221 a précédemment exploité trois vulnérabilités zero-day : CVE-2025-0282, CVE-2023-46805 et CVE-2024-21887.
Protégez-vous
Entre-temps, Mandiant a fortement exhorté les organisations à appliquer immédiatement le correctif disponible en mettant à niveau les appareils Ivanti Connect Secure (ICS) vers la version 22.7R2.6 ou ultérieure pour remédier à la vulnérabilité CVE-2025-22457.
De plus, il suggère aux organisations d’utiliser l’outil de vérification d’intégrité externe et interne (« ICT ») et de contacter le support Ivanti si une activité suspecte est détectée.
Recevez de nouveaux articles dans votre boîte de réception.
Aucun spam. Désabonnez-vous à tout moment.