Sicurezza IT · 2 min read · Jan 25, 2026
Malware TRAILBLAZE & BRUSHFIRE Distribuito nelle App/Servizi Ivanti
Il fornitore di software IT Ivanti ha recentemente rilasciato dettagli su una vulnerabilità di sicurezza critica ora corretta che colpisce gli apparecchi VPN Ivanti Connect Secure (ICS), Pulse Connect Secure, Ivanti Policy Secure e i gateway ZTA, che è attivamente sfruttata nel mondo.
La vulnerabilità, identificata come CVE-2025-22457 (punteggio CVSS di 9.0), è un overflow di buffer basato su stack che consente a un attaccante remoto non autenticato di ottenere l’esecuzione di codice remoto su un sistema colpito, portando potenzialmente a un compromesso completo del sistema. Tuttavia, questo difetto è stato corretto nella versione 22.7R2.6 di Ivanti Connect Secure rilasciata l’11 febbraio 2025.
“La vulnerabilità è un overflow di buffer con caratteri limitati a punti e numeri, è stata valutata e determinata non essere sfruttabile come esecuzione di codice remoto e non soddisfaceva i requisiti di negazione del servizio,” ha dichiarato Ivanti in un avviso di sicurezza pubblicato giovedì.
La vulnerabilità colpisce i seguenti prodotti e versioni:
| Nome del Prodotto | Versione(i) Colpita(e) | Versione(i) Risolta(e) | Disponibilità della Patch | |||||
| Ivanti Connect Secure | 22.7R2.5 e precedenti | 22.7R2.6 (rilasciata l’11 febbraio 2025) | Portale di Download | |||||
| Pulse Connect Secure (EoS) | 9.1R18.9 e precedenti | 22.7R2.6 | Contattare Ivanti per migrare | |||||
| Ivanti Policy Secure | 22.7R1.3 e precedenti | 22.7R1.4 | 21 aprile | |||||
| Gateway ZTA | 22.8R2 e precedenti | 22.8R2.2 | 19 aprile |
Ivanti ha dichiarato di essere a conoscenza di un “numero limitato di clienti” che utilizzano Ivanti Connect Secure (22.7R2.5 e precedenti) e Pulse Connect Secure 9.1x, apparecchi che sono andati in fine vita a dicembre 2024, che sono stati sfruttati. Ha aggiunto che non è a conoscenza di alcun sfruttamento di Policy Secure o gateway ZTA nel mondo al momento della divulgazione.
“I clienti dovrebbero monitorare il loro ICT esterno e cercare crash del server web. Se il tuo risultato ICT mostra segni di compromesso, dovresti eseguire un ripristino di fabbrica sull’apparecchio e poi rimettere l’apparecchio in produzione utilizzando la versione 22.7R2.6,” ha aggiunto l’azienda.
A seguito della divulgazione da parte di Ivanti, Mandiant, di proprietà di Google, ha rilasciato un post sul blog separato con dettagli di ulteriori scoperte della vulnerabilità CVE-2025-22457, post-sfruttamento.
Secondo Mandiant, il primo caso noto di sfruttamento della CVE-2025-22457 è stato osservato a metà marzo 2025, ritenuto essere effettuato da un gruppo di spionaggio legato alla Cina, UNC5221, che ha una storia di sfruttamento di vulnerabilità zero-day nei prodotti di Ivanti dal 2023. UNC5221 ha precedentemente sfruttato tre vulnerabilità zero-day: CVE-2025-0282, CVE-2023-46805 e CVE-2024-21887.
Mantieniti Sicuro
Nel frattempo, Mandiant ha esortato fortemente le organizzazioni ad applicare immediatamente la patch disponibile aggiornando gli apparecchi Ivanti Connect Secure (ICS) alla versione 22.7R2.6 o successiva per affrontare la vulnerabilità CVE-2025-22457.
Inoltre, suggerisce che le organizzazioni dovrebbero utilizzare lo Strumento di Controllo dell’Integrità esterno e interno (“ICT”) e contattare il Supporto Ivanti se viene rilevata un’attività sospetta.
Ricevi i nuovi post nella tua casella di posta.
Nessuno spam. Disiscriviti in qualsiasi momento.