{"id":1653924,"date":"2025-04-04T08:40:50","date_gmt":"2025-04-04T08:40:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/flaw-de-ivanti-critico-explotado-activamente-para-implementar-malware-trailblaze-y-brushfire\/"},"modified":"2025-04-04T08:40:55","modified_gmt":"2025-04-04T08:40:55","slug":"flaw-de-ivanti-critico-explotado-activamente-para-implementar-malware-trailblaze-y-brushfire","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/flaw-de-ivanti-critico-explotado-activamente-para-implementar-malware-trailblaze-y-brushfire\/","title":{"rendered":"Flaw de Ivanti cr\u00edtico explotado activamente para implementar malware Trailblaze y Brushfire"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Malware \/ vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Flaw-de-Ivanti-critico-explotado-activamente-para-implementar-malware-Trailblaze.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Ivanti ha revelado los detalles de una vulnerabilidad de seguridad cr\u00edtica ahora empapada que afecta a su seguro de conexi\u00f3n que ha sido de explotaci\u00f3n activa en la naturaleza.<\/p>\n<p>La vulnerabilidad, rastreada como <strong>CVE-2025-22457<\/strong> (Puntuaci\u00f3n CVSS: 9.0), se refiere a un caso de un desbordamiento de b\u00fafer basado en pila que podr\u00eda explotarse para ejecutar c\u00f3digo arbitrario en los sistemas afectados.<\/p>\n<p>&#8220;Un desbordamiento de b\u00fafer basado en pila en Ivanti Connect Secure antes de la versi\u00f3n 22.7R2.6, la pol\u00edtica Ivanti segura antes de la versi\u00f3n 22.7R1.4 y las puertas de enlace Ivanti ZTA antes de la versi\u00f3n 22.8R2.2 permite que un atacante remoto no autorenticado logre una ejecuci\u00f3n de c\u00f3digo remoto,&#8221; Ivanti &#8221; <a rel=\"noopener nofollow\" href=\"https:\/\/forums.ivanti.com\/s\/article\/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US\" target=\"_blank\">dicho<\/a> en una alerta lanzada el jueves.<\/p>\n<p>El defecto afecta los siguientes productos y versiones &#8211;<\/p>\n<ul>\n<li>Ivanti Connect Secure (versiones 22.7R2.5 y anteriores) &#8211; Se corrigi\u00f3 en la versi\u00f3n 22.7R2.6 (parche lanzado el 11 de febrero de 2025)<\/li>\n<li>Pulse Connect Secure (versiones 9.1R18.9 y anteriores): fijado en la versi\u00f3n 22.7R2.6 (comun\u00edquese con Ivanti para migrar a medida que el dispositivo ha alcanzado el fin de apoyo al 31 de diciembre de 2024)<\/li>\n<li>Ivanti Policy Secure (versiones 22.7R1.3 y anteriores) &#8211; Se corrigi\u00f3 en la versi\u00f3n 22.7R1.4 (estar\u00e1 disponible el 21 de abril)<\/li>\n<li>Gateways de ZTA (versiones 22.8R2 y anteriores): fijado en la versi\u00f3n 22.8R2.2 (estar\u00e1 disponible el 19 de abril)<\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-Backports-Critical-Fixes-para-3-exploits-en-vivo-que.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La empresa <a rel=\"noopener nofollow\" href=\"https:\/\/www.ivanti.com\/blog\/security-update-pulse-connect-secure-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways\" target=\"_blank\">dicho<\/a> Es consciente de un &#8220;n\u00famero limitado de clientes&#8221; cuya conexi\u00f3n se han explotado los electrodom\u00e9sticos seguros seguros y finales de apoyo. No hay evidencia de que la pol\u00edtica segura o las puertas de entrada de ZTA hayan sido objeto de abuso en el desarrollo.<\/p>\n<p>&#8220;Los clientes deben monitorear sus TIC externos y buscar bloqueos de servidor web&#8221;, se\u00f1al\u00f3 Ivanti. &#8220;Si su resultado de la TIC muestra signos de compromiso, debe realizar un reinicio de f\u00e1brica en el aparato y luego volver a colocar el aparato en producci\u00f3n utilizando la versi\u00f3n 22.7R2.6&#8221;.<\/p>\n<p>Vale la pena mencionar aqu\u00ed que Connect Secure versi\u00f3n 22.7R2.6 tambi\u00e9n abord\u00f3 m\u00faltiples vulnerabilidades cr\u00edticas (CVE-2024-38657, CVE-2025-22467 y CVE-2024-10644) que podr\u00edan permitir a un atacante autenticado remoto a escribir archivos arbitrarios y ejecutar c\u00f3digo arbitrario.<\/p>\n<p>Mandiant propiedad de Google, en un <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/china-nexus-exploiting-critical-ivanti-vulnerability\" target=\"_blank\">bolet\u00edn<\/a> Por su cuenta, dijo que observ\u00f3 evidencia de explotaci\u00f3n de CVE-2025-22457 a mediados de marzo de 2025, lo que permiti\u00f3 a los actores de amenaza entregar un gotero en memoria llamado Trailblaze, un Pasivo Backdoor Codennamnfire y la suite de malware de Spawn.<\/p>\n<p>La cadena de ataque esencialmente implica el uso de un gotero de script de shell de varias etapas para ejecutar TrailBlaze, que luego inyecta el incendio de pincel directamente en la memoria de un proceso web en ejecuci\u00f3n en un intento de evitar la detecci\u00f3n. La actividad de explotaci\u00f3n est\u00e1 dise\u00f1ada para establecer el acceso persistente de puerta trasera en los electrodom\u00e9sticos comprometidos, potencialmente permitiendo el robo de credenciales, una intrusi\u00f3n de red adicional y la exfiltraci\u00f3n de datos.<\/p>\n<p>El uso de Spawn se atribuye a un adversario de China-Nexus rastreado como UNC5221, que tiene un historial de aprovechamiento de fallas de d\u00eda cero en dispositivos Ivanti Connect Secure (ICS), junto con otros grupos como UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 y UNC3886.<\/p>\n<p>UNC5221, seg\u00fan el gobierno de los Estados Unidos, tambi\u00e9n se ha evaluado que compartan superposiciones con grupos de amenazas como APT27, Typhoon de Silk y UTA0178. Sin embargo, la firma de inteligencia de amenazas le dijo a Hacker News que no tiene suficiente evidencia por s\u00ed solo para confirmar esta conexi\u00f3n.<\/p>\n<p>&#8220;Mandiant rastrea UNC5221 como un cl\u00faster de actividad que ha explotado repetidamente dispositivos de borde con vulnerabilidades de d\u00eda cero&#8221;, dijo la publicaci\u00f3n Dan P\u00e9rez, l\u00edder t\u00e9cnico de la misi\u00f3n de China, Google Threat Intelligence Group.<\/p>\n<p>&#8220;El v\u00ednculo entre este cl\u00faster y el apt27 hecho por el gobierno es plausible, pero no tenemos evidencia independiente para confirmar. El tif\u00f3n de seda es el nombre de Microsoft para esta actividad, y no podemos hablar con su atribuci\u00f3n&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Tambi\u00e9n se ha observado que UNC5221 aprovecha una red de ofuscaci\u00f3n de electrodom\u00e9sticos de ciberin\u00faas comprometidos, dispositivos QNAP y enrutadores ASUS para enmascarar su verdadera fuente durante las operaciones de intrusi\u00f3n, un aspecto tambi\u00e9n destacado por Microsoft a principios del mes pasado, que detalla la \u00faltima comercializaci\u00f3n de Silk Typhoon.<\/p>\n<p>La compa\u00f1\u00eda teoriz\u00f3 adem\u00e1s que el actor de amenazas probablemente analiz\u00f3 el parche de febrero publicado por Ivanti y descubri\u00f3 una forma de explotar versiones anteriores para lograr la ejecuci\u00f3n de c\u00f3digo remoto contra los sistemas sin parpadear. El desarrollo marca la primera vez que UNC5221 se ha atribuido a la explotaci\u00f3n del d\u00eda N de un defecto de seguridad en los dispositivos Ivanti.<\/p>\n<p>&#8220;Esta \u00faltima actividad de UNC5221 subraya la orientaci\u00f3n continua de los dispositivos EDGE a nivel mundial por los grupos de espionaje de China-Nexus&#8221;, dijo Charles Carmakal, Mandiant Consulting CTO.<\/p>\n<p>&#8220;Estos actores continuar\u00e1n investigando vulnerabilidades de seguridad y desarrollan malware personalizado para sistemas empresariales que no admiten soluciones EDR. La velocidad de la actividad de intrusi\u00f3n cibern\u00e9tica por parte de los actores de espionaje de China-Nexus contin\u00faa aumentando y estos actores son mejores que nunca&#8221;. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/critical-ivanti-flaw-actively-exploited.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 de abril de 2025\ue804Ravie LakshmananMalware \/ vulnerabilidad Ivanti ha revelado los detalles de una vulnerabilidad de seguridad<\/p>\n","protected":false},"author":1,"featured_media":1653925,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[5277,4657,4656,4661,292614,4664,172,7881,176511,32935,175996,273784,4669,273783,4654,273782,4659,4653,4655,18,246983,4665,246984,292613,455,239484],"class_list":["post-1653924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-activamente","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-brushfire","tag-como-hackear","tag-critico","tag-explotado","tag-flaw","tag-implementar","tag-ivanti","tag-las-noticias-del-hacker","tag-malware","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-trailblaze","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1653924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1653924"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1653924\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1653925"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1653924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1653924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1653924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}