Ivanti heeft details bekendgemaakt van een inmiddels gekoppelde kritieke beveiligingskwetsbaarheid die van invloed is op zijn Connect Secure die in het wild onder actieve uitbuiting is gekomen.
De kwetsbaarheid, gevolgd als CVE-2025-22457 (CVSS-score: 9.0), betreft een geval van een stapelgebaseerde bufferoverloop die kan worden benut om willekeurige code op getroffen systemen uit te voeren.
“Een op stapel gebaseerde bufferoverloop in Ivanti Connect Secure vóór versie 22.7R2.6, Ivanti Policy Secure vóór versie 22.7R1.4 en Ivanti ZTA Gateways voordat versie 22.8R2.2 een externe niet-geautoredeerde aanvaller toestaat om externe code-uitvoering te bereiken,” zei Ivanti in een alert vrijgegeven donderdag.
De fout heeft invloed op de volgende producten en versies –
- Ivanti Connect Secure (versies 22.7R2.5 en Prior) – opgelost in versie 22.7R2.6 (patch uitgebracht op 11 februari 2025)
- Pulse Connect Secure (versies 9.1R18.9 en Prior)-Vast in versie 22.7R2.6 (neem contact op met Ivanti om te migreren omdat het apparaat eind 31 december 2024 heeft bereikt)
- Ivanti Policy Secure (versies 22.7R1.3 en Prior) – opgelost in versie 22.7R1.4 (beschikbaar te zijn op 21 april)
- ZTA Gateways (versies 22.8R2 en Prior) – Opgelost in versie 22.8R2.2 (beschikbaar te zijn op 19 april)
Het bedrijf zei dat het op de hoogte is van een “beperkt aantal klanten” wiens Connect Secure en End-of-Support Pulse Connect beveiligde apparaten zijn benut. Er is geen bewijs dat beleidsveilige of ZTA-gateways misbruik zijn gekomen.
“Klanten moeten hun externe ICT controleren en zoeken naar webservercrashes,” merkte Ivanti op. “Als uw ICT -resultaat tekenen van compromis vertoont, moet u een fabrieksreset uitvoeren op het apparaat en vervolgens het apparaat weer in productie plaatsen met behulp van versie 22.7R2.6.”
Het is de moeite waard om hier te vermelden dat Connect Secure versie 22.7R2.6 ook meerdere kritieke kwetsbaarheden heeft aangepakt (CVE-2024-38657, CVE-2025-22467 en CVE-2024-10644) die een afgelegen geverifieerde aanvaller toestaat om arbitrage bestanden te schrijven en arbitrarische code te uitvoeren.
Google-eigendom Mandiant, in een eigen bulletin, zei dat het het bewijs heeft waargenomen van exploitatie van CVE-2025-22457 medio maart 2025, waardoor de dreigingsacteurs een druppel in het geheugen kunnen leveren genaamd Trailblaze, een passief achterdeur codeamed borstelborstels en de spawn-malware-suite.
De aanvalsketen omvat in wezen het gebruik van een multi-fasen shell-script druppelaar om Trailblaze uit te voeren, die vervolgens Brushfire rechtstreeks in het geheugen van een actief webproces injecteert in een poging om detectie te omzeilen. De exploitatieactiviteit is ontworpen om persistente achterdeurtoegang op gecompromitteerde apparaten vast te stellen, waardoor inlogediefstal, verdere netwerkinbreuk en gegevensuitbraak mogelijk worden gemaakt.
Het gebruik van spawn wordt toegeschreven aan een China-Nexus-tegenstander die wordt gevolgd als UNC5221, die een geschiedenis heeft van het gebruik van nuldagen fouten in Ivanti Connect Secure (ICS) -apparaten, naast andere clusters zoals UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 en UNC3886.
UNC5221, volgens de Amerikaanse regering, is ook beoordeeld om overlappingen te delen met bedreigingsgroepen zoals APT27, Silk Typhoon en UTA0178. Het bedreigingsinlichtingenbedrijf vertelde The Hacker News echter dat het op zichzelf niet genoeg bewijs heeft om dit verband te bevestigen.
“Mandiant Tracks UNC5221 als een cluster van activiteit die herhaaldelijk edge-apparaten heeft uitgebuit met nul-daagse kwetsbaarheden,” vertelde Dan Perez, Technical Lead van China Mission, Google Threat Intelligence Group, aan de publicatie.
“Het verband tussen dit cluster en APT27 gemaakt door de overheid is aannemelijk, maar we hebben geen onafhankelijk bewijs om te bevestigen. Silk Typhoon is de naam van Microsoft voor deze activiteit, en we kunnen niet spreken over hun toeschrijving.”
UNC5221 is ook waargenomen met behulp van een obfuscatie -netwerk van gecompromitteerde cyberoam -apparaten, QNAP -apparaten en ASUS -routers om hun ware bron te maskeren tijdens inbraakactiviteiten, een aspect dat ook werd benadrukt door Microsoft begin vorige maand, met details over de nieuwste handel van Silk Typhoon.
Het bedrijf theoretiseerde verder dat de dreigingsacteur waarschijnlijk de februari -patch heeft geanalyseerd die door Ivanti werd vrijgegeven en een manier heeft ontdekt om eerdere versies te exploiteren om de externe code -uitvoering tegen niet -geplande systemen te bereiken. De ontwikkeling markeert de eerste keer dat UNC5221 is toegeschreven aan de N-Day-exploitatie van een beveiligingsfout in Ivanti-apparaten.
“Deze laatste activiteit van UNC5221 onderstreept de voortdurende targeting van edge-apparaten wereldwijd door spionagegroepen van China-Nexus,” zei Charles Carmakal, Mandiant Consulting CTO.
“Deze actoren zullen de kwetsbaarheden van de beveiliging blijven onderzoeken en aangepaste malware ontwikkelen voor bedrijfssystemen die geen EDR-oplossingen ondersteunen. De snelheid van cyberinbreukactiviteit door China-Nexus spionage-actoren blijft toenemen en deze actoren zijn beter dan ooit.”
