Ivanti ha revelado una vulnerabilidad crítica que afecta a varios de sus productos, incluyendo Ivanti Connect Secure (ICS), Pulse Connect Secure, Ivanti Policy Secure y ZTA Gateways. Esta vulnerabilidad ha sido explotada activamente por actores malintencionados, lo que demarca la urgencia de abordar este problema de seguridad.
- CVE-2025-22457 (CVSS 9.0): Esta vulnerabilidad es un desbordamiento de búfer basado en pila que permite a un atacante remoto no autenticado ejecutar código arbitrario en los sistemas afectados. Se ha observado que el grupo de amenazas UNC5221 ha explotado esta vulnerabilidad para desplegar malware como TRAILBLAZE y BRUSHFIRE.
La explotación de CVE-2025-22457 y el despliegue del ecosistema de malware SPAWN han sido atribuidos a UNC5221, un presunto actor de espionaje con nexos en China. Este grupo tiene un historial de atacar dispositivos perimetrales y ha sido observado realizando explotaciones de día cero en el pasado.
Productos Afectados y Solución:
| Productos Afectados | Solución |
| Ivanti Connect Secure (versiones 22.7R2.5 y anteriores) | Actualizar a la versión 22.7R2.6 |
| Pulse Connect Secure 9.1x (Fin de Soporte) | Migrar a una solución soportada. |
| Ivanti Policy Secure (versiones anteriores a 22.7R1.4) | Aplicar el parche disponible desde el 21 de abril de 2025 |
| ZTA Gateways (versiones anteriores a 22.8R2.2) | Aplicar el parche disponible desde el 19 de abril de 2025 |
Recomendaciones:
- Actualizar todos los sistemas afectados a las versiones más recientes proporcionadas por Ivanti para garantizar la protección contra esta vulnerabilidad.
- Monitorear los sistemas en busca de signos de compromiso, prestando especial atención a la presencia de malware como TRAILBLAZE y BRUSHFIRE.
- Implementar medidas de seguridad adicionales, como firewalls y sistemas de detección de intrusos, para prevenir accesos no autorizados.
- Revisar y reforzar las políticas de seguridad internas para garantizar que solo el personal autorizado tenga acceso a sistemas críticos.
Referencias: