Ivanti a divulgué les détails d’une vulnérabilité de sécurité critique désormais réglée impactant sa connexion sécurisée qui a fait l’objet d’une exploitation active dans la nature.
La vulnérabilité, suivie comme CVE-2025-22457 (Score CVSS: 9.0), concerne un cas de débordement de tampon basé sur la pile qui pourrait être exploité pour exécuter du code arbitraire sur les systèmes affectés.
“Un débordement de tampon basé sur la pile dans Ivanti Connect Secure avant la version 22.7R2.6, la politique Ivanti Secure avant la version 22.7R1.4 et les passerelles Ivanti ZTA avant la version 22.8R2.2 permet un attaquant non authentifié distant pour réaliser l’exécution de code distant”, Ivanti dit Dans une alerte publiée jeudi.
La faille a un impact sur les produits et versions suivants –
- Ivanti Connect Secure (versions 22.7R2.5 et antérieure) – Correction de la version 22.7R2.6 (patch publié le 11 février 2025)
- Pulse Connect Secure (Versions 9.1R18.9 et Prior) – Fixé dans la version 22.7R2.6 (Contactez Ivanti pour migrer lorsque l’appareil a atteint la fin de support au 31 décembre 2024)
- Ivanti Policy Secure (versions 22.7R1.3 et antérieure) – Fixé dans la version 22.7R1.4 (pour être disponible le 21 avril)
- ZTA Gateways (versions 22.8R2 et Prior) – Correction dans la version 22.8R2.2 (à être disponible le 19 avril)
L’entreprise dit Il est conscient d’un “nombre limité de clients” dont les appareils sécurisés Connect Secure et de fin de support sont exploités. Il n’y a aucune preuve que la politique sécurisée ou que les passerelles ZTA aient subi des abus dans les sauts.
“Les clients doivent surveiller leurs TIC externes et rechercher des plantages de serveurs Web”, a noté Ivanti. “Si votre résultat TIC montre des signes de compromis, vous devez effectuer une réinitialisation d’usine sur l’appareil, puis remettre l’appliance en production à l’aide de la version 22.7r2.6.”
Il convient de mentionner ici que Connect Secure Version 22.7R2.6 a également abordé plusieurs vulnérabilités critiques (CVE-2024-38657, CVE-2025-22467 et CVE-2024-10644) qui pourraient permettre à un attaquant authentifié distant d’écrire des fichiers arbitraires et d’exécuter un code arbitraire.
Mandiant appartenant à Google, dans un bulletin De lui-même, a déclaré avoir observé des preuves de l’exploitation du CVE-2025-22457 à la mi-mars 2025, permettant aux acteurs de la menace de livrer un compte-gouttes en mémoire appelé Trailblaze, une codé Brushfire de codécardée passive et la suite de logiciels malveillants Spawn.
La chaîne d’attaque implique essentiellement l’utilisation d’un compte-gouttes de script de shell à plusieurs étages pour exécuter Trailblaze, qui injecte ensuite Brushfire directement dans la mémoire d’un processus Web en cours d’exécution dans le but de contourner la détection. L’activité d’exploitation est conçue pour établir un accès de porte dérobée persistant sur les appareils compromis, permettant potentiellement le vol d’identification, l’intrusion de réseau supplémentaire et l’exfiltration des données.
L’utilisation de Spawn est attribuée à un adversaire China-Nexus suivi sous le nom de UNC5221, qui a des antécédents de mise en œuvre de défauts zéro-jours dans les appareils Ivanti Connect Secure (ICS), aux côtés d’autres grappes telles que UNC5266, UNC5291, UNC5325, UNC5330, UNC537 et UNC3886.
UNC5221, selon le gouvernement américain, a également été évalué pour partager des chevauchements avec des groupes de menaces tels que l’APT27, le typhon de soie et l’UTA0178. Cependant, la société de renseignement sur les menaces a déclaré au Hacker News qu’il n’avait pas suffisamment de preuves pour confirmer ce lien.
“Mandiant suit UNC5221 comme un groupe d’activités qui a exploité à plusieurs reprises les appareils Edge avec des vulnérabilités zéro-jour”, a déclaré à The Publication Dan Perez, Dan Perez, leader technique de la mission China, Google Threat Intelligence.
“Le lien entre ce cluster et APT27 établi par le gouvernement est plausible, mais nous n’avons pas de preuves indépendantes pour confirmer. Le typhon de soie est le nom de Microsoft pour cette activité, et nous ne pouvons pas parler de leur attribution.”
L’UNC5221 a également été observé en tirant parti d’un réseau d’obscurcissement d’approvisionnements de cyberoam compromis, de dispositifs QNAP et de routeurs ASUS pour masquer leur véritable source lors des opérations d’intrusion, un aspect également mis en évidence par Microsoft au début du mois dernier, détaillant la dernière colonne commerciale de Silk Typhoon.
L’entreprise a en outre émis l’habitude que l’acteur de menace a probablement analysé le correctif de février publié par Ivanti et a trouvé un moyen d’exploiter les versions antérieures afin d’atteindre l’exécution du code à distance contre les systèmes non corrigés. Le développement marque la première fois que l’UNC5221 a été attribué à l’exploitation des jours à n-days d’une faille de sécurité dans les appareils Ivanti.
“Cette dernière activité de l’UNC5221 souligne le ciblage en cours des dispositifs de bord mondiale par les groupes d’espionnage en Chine-Nexus”, a déclaré Charles Carmakal, Mandiant Consulting CTO.
“Ces acteurs continueront à rechercher des vulnérabilités de sécurité et à développer des logiciels malveillants personnalisés pour les systèmes d’entreprise qui ne prennent pas en charge les solutions EDR.



