Malware RESURGE explota vulnerabilidad en Ivanti Connect Secure

Ivanti Connect Secure es una solución de VPN ampliamente utilizada que permite a las organizaciones proporcionar acceso remoto seguro a sus redes. Recientemente, se ha identificado una vulnerabilidad crítica en este producto que ha sido explotada por un nuevo malware denominado RESURGE.

• CVE-2025-0282 (CVSS 9.0): Esta vulnerabilidad permite a un atacante remoto no autenticado ejecutar código arbitrario en el sistema afectado, lo cual generaría un desbordamiento de búfer basado en stack que afecta a Ivanti Connect Secure en versiones anteriores a la 22.7R2.5, Ivanti Policy Secure en versiones anteriores a la 22.7R1.2, y Ivanti Neurons for ZTA gateways en versiones anteriores a la 22.7R2.3.

El malware RESURGE ha sido identificado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) como una amenaza que explota la vulnerabilidad CVE-2025-0282. RESURGE es una variante mejorada del malware SPAWNCHIMERA y posee capacidades de rootkit, dropper, backdoor, bootkit, proxy y túnel. Entre sus funcionalidades destacan la persistencia tras reinicios del sistema, la manipulación de controles de integridad y la modificación de archivos críticos.

Productos afectados:

• Ivanti Connect Secure versiones anteriores a 22.7R2.5
• Ivanti Policy Secure versiones anteriores a 22.7R1.2
• Ivanti Neurons for ZTA gateways versiones anteriores a 22.7R2.3

Solución:

• Ivanti Connect Secure actualizar a la versión 22.7R2.5 o superior.
• Ivanti Policy Secure actualizar a la versión 22.7R1.2 o superior.
• Ivanti Neurons for ZTA gateways actualizar a la versión 22.7R2.3 o superior.

Recomendaciones:

• Implementar las actualizaciones de seguridad proporcionadas por Ivanti para las versiones afectadas.​

• Revisar y reforzar las políticas de acceso para limitar la exposición a posibles ataques.​

• Monitorear los sistemas en busca de actividades inusuales o indicadores de compromiso relacionados con el malware RESURGE.​

• Realizar análisis de seguridad periódicos para detectar y remediar vulnerabilidades en la infraestructura.      

Referencias:

• https://thehackernews.com/2025/03/resurge-malware-exploits-ivanti-flaw.html

• https://www.cisa.gov/news-events/analysis-reports/ar25-087a
• https://www.cve.org/CVERecord?id=CVE-2025-0282

• https://www.tenable.com/cve/CVE-2025-0282