Компания Ivanti выпустила обновления безопасности для устранения критической RCE-уязвимости в Connect Secure. Как минимум с середины марта 2025 года этот баг уже использовался китайскими хакерами для развертывания малвари.
Уязвимость получила идентификатор CVE-2025-22457 и связана с переполнением буфера стека. Проблема затрагивает Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре 2024 года), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.
По информации Ivanti, удаленные злоумышленники могли использовать эту уязвимость в атаках высокой сложности, не требующих аутентификации или взаимодействия с пользователем.
Проблема была исправлена 11 февраля 2025 года с релизом Ivanti Connect Secure 22.7R2.6.
«Уязвимость представляет собой переполнение буфера с ограничением на используемые символы — только точки и цифры. После анализа было установлено, что ее нельзя эксплуатировать для удаленного выполнения кода, и она не соответствует критериям для отказа в обслуживании, — пишут разработчики Ivanti. — Однако Ivanti и ее партнерам по безопасности стало известно, что уязвимость может использоваться в сложных атаках, и были обнаружены доказательства ее активной эксплуатации. Мы призываем всех клиентов как можно скорее установить Ivanti Connect Secure версии 22.7R2.6, в которой устранена уязвимость».
Ivanti также посоветовала администраторам следить за внешним Integrity Checker Tool (ICT) и обращать внимание на сбои в работе веб-сервера. При обнаружении любых признаков компрометации рекомендуется сбросить затронутые устройства к заводским настройкам и вернуть их в эксплуатацию только под управлением версии 22.7R2.6.
Компания не сообщила никаких подробностей об атаках на CVE-2025-22457, но исследователи из Mandiant и Google Threat Intelligence Group (GTIG) выяснили, что за эксплуатацией уязвимости стоит связанная с Китаем шпионская группировка UNC5221, использовавшая баг с середины марта 2025 года.
«После успешной эксплуатации [CVE-2025-22457] мы наблюдали развертывание двух новых семейств вредоносных программ: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE. Кроме того, наблюдалось развертывание ранее заявленной экосистемы вредоносных программ SPAWN, связанной с UNC5221, — пишут специалисты в Mandiant. — Мы полагаем, что злоумышленники, вероятно, изучили патч для уязвимости в ICS 22.7R2.6 и обнаружили, что с помощью сложного процесса можно эксплуатировать 22.7R2.5 и более ранние версии для удаленного выполнения кода».
Группировка UNC5221 известна специалистам с 2023 года. Преимущественно она нацелена на уязвимости нулевого дня в пограничных сетевых устройствах, включая продукты Ivanti и NetScaler. К примеру, в начале 2025 года группа использовала другую уязвимость переполнения буфера в Ivanti Connect Secure (CVE-2025-0282) для распространения малвари Dryhook и Phasejam.
