Ivanti: «Мы всё починили». UNC5221: «Спасибо за инструкцию»
Ivanti экстренно закрывает брешь в защите.
Ivanti выпустила обновления безопасности для устранения критической уязвимости удалённого выполнения кода (RCE) в сетевых шлюзах Connect Secure.
Ошибка CVE-2025-22457 (оценка CVSS: 9.0) уже использовалась в кибер шпионаже как минимум с середины марта 2025 года. По и нформации Google и Mandiant, атаки связаны с китайской группировкой UNC5221, которая ранее уже эксплуатировала Zero-Day в устройствах Ivanti.
уязвимость представляет собой переполнение буфера в стеке (buffer overflow) и затрагивает устаревшие версии Pulse Connect Secure 9.1x, а также Ivanti Connect Secure до версии 22.7R2.6 включительно, Policy Secure и шлюзы Neurons for ZTA. Хотя изначально баг был классифицирован как неисправность без потенциальной угрозы, позже выяснилось, что он может быть использован для удалённого выполнения кода через сложные методы, не требующие аутентификации или участия пользователя.
Обновление было выпущено ещё 11 февраля 2025 года в составе версии 22.7R2.6. Однако на тот момент уязвимость не считалась опасной — ограничения по символам в буфере якобы не позволяли использовать её для атак. Только позднее Ivanti удалось выяснить, что уязвимость можно обойти при определённых условиях, что и подтвердили зафиксированные инциденты эксплуатации.
Группировка UNC5221 активно использует подобные уязвимости в периферийных устройствах с 2023 года. В текущей кампании атакующие применяли новое вредоносное ПО: дроппер TRAILBLAZE, работающий только в памяти, пассивный бэкдор BRUSHFIRE и обновлённую версию SPAWN — целую экосистему инструментов вторжения.
Специалисты утверждают, что хакеры, вероятно, изучили исправление для уязвимости в ICS 22.7R2.6 и с помощью сложного процесса обнаружили, что можно использовать 22.7R2.5 и более ранние версии для удаленного выполнения кода.
На данный момент шлюзы Policy Secure и ZTA пока не были целями атак, хотя также подвержены уязвимости. Обновления для этих продуктов запланированы на 19 и 21 апреля соответственно. Ivanti подчеркивает, что в данных продуктах риск существенно снижен из-за особенностей архитектуры.
Для пользователей устройств, попавших под угрозу, Ivanti рекомендует незамедлительно обновиться до версии 22.7R2.6. Также рекомендуется использовать внешние инструменты для поиска возможных признаков компрометации. В случае обнаружения следов атаки следует выполнить сброс настроек до заводских и заново развернуть устройство на актуальной версии.