A Ivanti revelou detalhes de uma vulnerabilidade crítica de segurança, já corrigida, que afetava seu Connect Secure e que estava sendo explorada ativamente em ataques.
A vulnerabilidade, identificada como
CVE-2025-22457
(pontuação CVSS: 9.0), envolve um caso de estouro de buffer baseado em pilha que poderia ser explorado para executar código arbitrário nos sistemas afetados.
"Um estouro de buffer baseado em pilha no Ivanti Connect Secure antes da versão 22.7R2.6, Ivanti Policy Secure antes da versão 22.7R1.4, e Ivanti ZTA Gateways antes da versão 22.8R2.2 permite que um atacante remoto não autenticado consiga realizar execução remota de código", disse a Ivanti em um alerta divulgado na quinta-feira(03).
A falha afeta os seguintes produtos e versões:
- Ivanti Connect Secure (versões 22.7R2.5 e anteriores) - Corrigido na versão 22.7R2.6 (Patch lançado em 11 de fevereiro de 2025);
- Pulse Connect Secure (versões 9.1R18.9 e anteriores) - Corrigido na versão 22.7R2.6 (Contate a Ivanti para migrar, pois o dispositivo atingiu o fim do suporte em 31 de dezembro de 2024);
- Ivanti Policy Secure (versões 22.7R1.3 e anteriores) - Corrigido na versão 22.7R1.4 (Disponível em 21 de abril);
- ZTA Gateways (versões 22.8R2 e anteriores) - Corrigido na versão 22.8R2.2 (Disponível em 19 de abril).
A empresa disse estar ciente de um "número limitado de clientes" cujos aparelhos Connect Secure e Pulse Connect Secure com suporte encerrado foram explorados.
Não há evidências de que o Policy Secure ou os gateways ZTA tenham sofrido abusos em ataques reais.
"Os clientes devem monitorar seus ICTs externos e procurar por falhas no servidor web", observou a Ivanti.
Se o seu resultado de ICT mostrar sinais de comprometimento, você deve realizar um reset de fábrica no aparelho e então colocá-lo novamente em produção usando a versão 22.7R2.6.
Vale mencionar aqui que a versão 22.7R2.6 do Connect Secure também abordou múltiplas vulnerabilidades críticas (CVE-2024-38657,
CVE-2025-22467
e
CVE-2024-10644
) que poderiam permitir a um atacante remoto autenticado escrever arquivos arbitrários e executar código arbitrário.
A Mandiant, de propriedade da Google, em um boletim próprio, disse ter observado evidências da exploração do
CVE-2025-22457
em meados de março de 2025, permitindo aos atores de ameaça entregar um dropper em memória chamado TRAILBLAZE, uma backdoor passiva codinome BRUSHFIRE e o pacote de malware SPAWN.
A cadeia de ataque envolve basicamente o uso de um dropper em script de shell multi-estágio para executar TRAILBLAZE, que então injeta BRUSHFIRE diretamente na memória de um processo web em execução na tentativa de evitar detecção.
A atividade de exploração é projetada para estabelecer acesso persistente à backdoor em aparelhos comprometidos, potencialmente habilitando o roubo de credenciais, intrusão adicional na rede e exfiltração de dados.
O ecossistema de malware SPAWN inclui os seguintes componentes:
- SPAWNSLOTH, uma utilidade de manipulação de logs que pode desativar o registro e o encaminhamento de logs para um servidor syslog externo quando a backdoor SPAWNSNAIL está operando;
- SPAWNSNARE, um programa baseado em C que é usado para extrair a imagem do kernel linux descomprimido (vmlinux) em um arquivo e criptografá-lo usando AES;
- SPAWNWAVE, uma versão aprimorada do SPAWNANT que combina vários elementos do SPAWN (sobrepõe-se com SPAWNCHIMERA e RESURGE).
O uso do SPAWN é atribuído a um adversário com nexos na China rastreado como UNC5221, que tem histórico de explorar falhas de zero-day em dispositivos Ivanti Connect Secure (ICS), ao lado de outros clusters como UNC5266, UNC5291, UNC5325, UNC5330, UNC5337 e UNC3886.
UNC5221, segundo o governo dos EUA, também foi avaliado por compartilhar sobreposições com grupos de ameaça como APT27, Silk Typhoon e UTA0178.
No entanto, a firma de inteligência de ameaças disse ao The Hacker News que não possui evidências suficientes por conta própria para confirmar essa conexão.
"A Mandiant rastreia o UNC5221 como um cluster de atividade que explorou repetidamente dispositivos de borda com vulnerabilidades de zero-day", disse Dan Perez, Líder Técnico de Missão da China, Grupo de Inteligência de Ameaças do Google, à publicação.
A ligação entre este cluster e o APT27 feita pelo governo é plausível, mas não temos evidências independentes para confirmar.
Silk Typhoon é o nome dado por Microsoft para essa atividade, e não podemos nos pronunciar sobre sua atribuição.
Além de conduzir a exploração de zero-day do
CVE-2023-4966
, afetando dispositivos Citrix NetScaler, o UNC5221 utilizou uma rede de obfuscação de aparelhos Cyberoam comprometidos, dispositivos QNAP e roteadores ASUS para mascarar sua verdadeira fonte durante operações de intrusão, um aspecto também destacado pela Microsoft no início do mês passado, detalhando as últimas táticas de Silk Typhoon.
A empresa teorizou ainda que o ator de ameaça provavelmente analisou o patch de fevereiro lançado pela Ivanti e descobriu uma maneira de explorar versões anteriores para alcançar execução remota de código contra sistemas não patcheados.
O desenvolvimento marca a primeira vez que UNC5221 foi atribuído à exploração N-day de uma falha de segurança em dispositivos Ivanti.
"Esta última atividade do UNC5221 sublinha o alvo contínuo de dispositivos de borda globalmente por grupos de espionagem com nexos na China", disse Charles Carmakal, CTO de Consultoria da Mandiant.
Esses atores continuarão a pesquisar vulnerabilidades de segurança e desenvolver malware personalizado para sistemas empresariais que não suportam soluções EDR.
A velocidade da atividade de intrusão cibernética por atores de espionagem com nexos na China continua a aumentar e esses atores estão melhores do que nunca.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...