Segurança de TI · 2 min read · Jan 25, 2026
Malware TRAILBLAZE & BRUSHFIRE Implantado em Aplicativos/Serviços da Ivanti
O fornecedor de software de TI Ivanti recentemente divulgou detalhes de uma vulnerabilidade crítica de segurança agora corrigida que afeta os dispositivos VPN Ivanti Connect Secure (ICS), Pulse Connect Secure, Ivanti Policy Secure e gateways ZTA, que está sendo ativamente explorada no ambiente.
A vulnerabilidade, identificada como CVE-2025-22457 (pontuação CVSS de 9.0), é um estouro de buffer baseado em pilha que permite que um atacante remoto não autenticado consiga execução remota de código em um sistema afetado, potencialmente levando a uma comprometimento total do sistema. No entanto, essa falha foi corrigida na versão 22.7R2.6 do Ivanti Connect Secure, lançada em 11 de fevereiro de 2025.
“A vulnerabilidade é um estouro de buffer com caracteres limitados a pontos e números, foi avaliada e determinada como não explorável como execução remota de código e não atendia aos requisitos de negação de serviço”, disse a Ivanti em um aviso de segurança publicado na quinta-feira.
A vulnerabilidade afeta os seguintes produtos e versões:
| Nome do Produto | Versão(ões) Afetada(s) | Versão(ões) Resolvida(s) | Disponibilidade do Patch | |||||
| Ivanti Connect Secure | 22.7R2.5 e anteriores | 22.7R2.6 (lançado em 11 de fevereiro de 2025) | Portal de Download | |||||
| Pulse Connect Secure (EoS) | 9.1R18.9 e anteriores | 22.7R2.6 | Contate a Ivanti para migrar | |||||
| Ivanti Policy Secure | 22.7R1.3 e anteriores | 22.7R1.4 | 21 de abril | |||||
| Gateways ZTA | 22.8R2 e anteriores | 22.8R2.2 | 19 de abril |
A Ivanti disse que está ciente de um “número limitado de clientes” usando Ivanti Connect Secure (22.7R2.5 e anteriores) e Pulse Connect Secure 9.1x, dispositivos que chegaram ao fim da vida em dezembro de 2024, que foram explorados. Ela acrescentou que não tem conhecimento de qualquer exploração do Policy Secure ou gateways ZTA no ambiente até a divulgação.
“Os clientes devem monitorar seu ICT externo e procurar por falhas no servidor web. Se o resultado do seu ICT mostrar sinais de comprometimento, você deve realizar um reset de fábrica no dispositivo e, em seguida, colocá-lo de volta em produção usando a versão 22.7R2.6”, acrescentou a empresa.
Após a divulgação pela Ivanti, a Mandiant, de propriedade do Google, lançou um post de blog separado com detalhes de descobertas adicionais da vulnerabilidade CVE-2025-22457, pós-exploração.
De acordo com a Mandiant, a primeira instância conhecida de exploração da CVE-2025-22457 foi observada em meados de março de 2025, acreditando-se que foi realizada por um grupo de espionagem vinculado à China, UNC5221, que tem um histórico de exploração de vulnerabilidades de dia zero nos produtos da Ivanti desde 2023. O UNC5221 já aproveitou três vulnerabilidades de dia zero: CVE-2025-0282, CVE-2023-46805 e CVE-2024-21887.
Mantenha-se Seguro
Enquanto isso, a Mandiant instou fortemente as organizações a aplicar o patch disponível imediatamente, atualizando os dispositivos Ivanti Connect Secure (ICS) para a versão 22.7R2.6 ou posterior para resolver a vulnerabilidade CVE-2025-22457.
Além disso, sugere que as organizações utilizem a Ferramenta de Verificação de Integridade externa e interna (“ICT”) e entrem em contato com o Suporte da Ivanti se qualquer atividade suspeita for detectada.
Receba novas postagens na sua caixa de entrada
Sem spam. Cancele a assinatura a qualquer momento.