Безопасность · 2 min read · Jan 25, 2026
Malware TRAILBLAZE & BRUSHFIRE, развернутый в приложениях/услугах Ivanti
Поставщик программного обеспечения Ivanti недавно опубликовал детали критической уязвимости безопасности, которая была исправлена и затрагивает устройства VPN Ivanti Connect Secure (ICS), Pulse Connect Secure, Ivanti Policy Secure и шлюзы ZTA, которые активно эксплуатируются в дикой природе.
Уязвимость, идентифицированная как CVE-2025-22457 (оценка CVSS 9.0), является переполнением буфера на основе стека, которое позволяет удаленному неаутентифицированному злоумышленнику добиться удаленного выполнения кода на затронутой системе, что потенциально может привести к полному компрометации системы. Однако этот недостаток был исправлен в версии Ivanti Connect Secure 22.7R2.6, выпущенной 11 февраля 2025 года.
«Уязвимость является переполнением буфера с символами, ограниченными точками и числами, она была оценена и признана неэксплуатируемой как удаленное выполнение кода и не соответствовала требованиям отказа в обслуживании», — заявила компания Ivanti в опубликованном в четверг уведомлении о безопасности.
Уязвимость затрагивает следующие продукты и версии:
| Название продукта | Затронутые версии | Исправленные версии | Доступность патча | |||||
| Ivanti Connect Secure | 22.7R2.5 и ранее | 22.7R2.6 (выпущена 11 февраля 2025 года) | Портал загрузки | |||||
| Pulse Connect Secure (EoS) | 9.1R18.9 и ранее | 22.7R2.6 | Свяжитесь с Ivanti для миграции | |||||
| Ivanti Policy Secure | 22.7R1.3 и ранее | 22.7R1.4 | 21 апреля | |||||
| Шлюзы ZTA | 22.8R2 и ранее | 22.8R2.2 | 19 апреля |
Ivanti сообщила, что ей известно о «ограниченном числе клиентов», использующих Ivanti Connect Secure (22.7R2.5 и ранее) и Pulse Connect Secure 9.1x, устройства которых вышли из эксплуатации в декабре 2024 года и были скомпрометированы. Она добавила, что не знает о каких-либо случаях эксплуатации Policy Secure или шлюзов ZTA в дикой природе на момент раскрытия информации.
«Клиенты должны следить за своим внешним ICT и искать сбои веб-сервера. Если ваш результат ICT показывает признаки компрометации, вам следует выполнить сброс к заводским настройкам на устройстве, а затем вернуть устройство в эксплуатацию, используя версию 22.7R2.6», — добавила компания.
После раскрытия информации от Ivanti, принадлежащая Google компания Mandiant выпустила отдельный блог с деталями дополнительных находок уязвимости CVE-2025-22457 после эксплуатации.
Согласно Mandiant, первый известный случай эксплуатации CVE-2025-22457 был зафиксирован в середине марта 2025 года и, как полагают, был осуществлен связанной с Китаем шпионской группой UNC5221, которая имеет историю эксплуатации уязвимостей нулевого дня в продуктах Ivanti с 2023 года. UNC5221 ранее использовала три уязвимости нулевого дня: CVE-2025-0282, CVE-2023-46805 и CVE-2024-21887.
Обеспечьте свою безопасность
Тем временем Mandiant настоятельно призвала организации немедленно применить доступный патч, обновив устройства Ivanti Connect Secure (ICS) до версии 22.7R2.6 или более поздней, чтобы устранить уязвимость CVE-2025-22457.
Кроме того, она предлагает организациям использовать внешний и внутренний инструмент проверки целостности (“ICT”) и обращаться в службу поддержки Ivanti, если будет обнаружена какая-либо подозрительная активность.
Get new posts in your inbox
No spam. Unsubscribe anytime.