A Ivanti está alertando que hackers exploraram uma vulnerabilidade de execução remota de código no Ivanti Connect Secure, identificada como
CVE-2025-0282
, em ataques zero-day para instalar malware em appliances.
A empresa diz que tomou conhecimento das vulnerabilidades após a Ferramenta de Verificação de Integridade da Ivanti (ICT) detectar atividade maliciosa nos appliances dos clientes.
A Ivanti iniciou uma investigação e confirmou que agentes de ameaças estavam explorando ativamente a
CVE-2025-0282
como um zero-day.
A
CVE-2025-0282
é um bug crítico (9.0) de estouro de buffer baseado em pilha no Ivanti Connect Secure antes da versão 22.7R2.5, Ivanti Policy Secure antes da versão 22.7R1.2, e Ivanti Neurons para gateways ZTA antes da versão 22.7R2.3 que permite a um atacante não autenticado executar remotamente código nos dispositivos.
Embora a falha impacte todos os três produtos, a Ivanti diz que viu a exploração apenas nos appliances Ivanti Connect Secure.
“Estamos cientes de um número limitado de appliances Ivanti Connect Secure de clientes que foram explorados pela
CVE-2025-0282
no momento da divulgação,” lemos em um post no blog da Ivanti.
Não temos conhecimento destas CVEs sendo exploradas no Ivanti Policy Secure ou Neurons para gateways ZTA.
A Ivanti disponibilizou rapidamente patches de segurança para o Ivanti Connect Secure, resolvidos na versão de firmware 22.7R2.5.
No entanto, os patches para o Ivanti Policy Secure e Ivanti Neurons para ZTA Gateways não estarão prontos até 21 de Janeiro, de acordo com um boletim de segurança publicado hoje.
Ivanti Policy Secure: Esta solução não é destinada a ficar exposta na internet, o que torna o risco de exploração significativamente menor.
O conserto para o Ivanti Policy Secure está planejado para ser lançado em 21 de Janeiro de 2025, e estará disponível no portal de download padrão.
Clientes devem sempre assegurar que seu appliance IPS esteja configurado de acordo com as recomendações da Ivanti e não o exponha na internet.
Não temos conhecimento destas CVEs sendo exploradas no Ivanti Policy Secure.
Ivanti Neurons para ZTA Gateways: Os gateways Ivanti Neurons ZTA não podem ser explorados quando em produção.
Se um gateway para esta solução for gerado e deixado desconectado de um controlador ZTA, então há um risco de exploração no gateway gerado.
O conserto está planejado para ser lançado em 21 de Janeiro de 2025.
Não temos conhecimento destas CVEs sendo exploradas em gateways ZTA.
A empresa recomenda que todos os administradores do Ivanti Connect Secure realizem varreduras ICT internas e externas.
Se as varreduras não mostrarem problemas, a Ivanti ainda recomenda que os administradores realizem um reset de fábrica antes de atualizar para o Ivanti Connect Secure 22.7R2.5.
No entanto, se as varreduras mostrarem sinais de comprometimento, a Ivanti diz que um reset de fábrica deve remover qualquer malware instalado.
O appliance deve então ser colocado novamente em produção usando a versão 22.7R2.5
As atualizações de segurança de hoje também corrigem uma segunda vulnerabilidade identificada como
CVE-2025-0283
, que a Ivanti diz atualmente não estar sendo explorada ou encadeada com a
CVE-2025-0282
.
Esta falha permite que um atacante local autenticado escale seus privilégios.
Como a Ivanti está trabalhando com a Mandiant e o Microsoft Threat Intelligence Center para investigar os ataques, provavelmente veremos relatórios sobre o malware detectado em breve.
Em Outubro, a Ivanti liberou atualizações de segurança para corrigir três zero-days no Cloud Services Appliance (CSA) que estavam sendo ativamente explorados em ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...