Descubierta vulnerabilidad crítica RCE en Ivanti Connect Secure bajo explotación activa

CyberSecureFox 🦊

Descubierta vulnerabilidad crítica RCE en Ivanti Connect Secure bajo explotación activa

por

Ivanti ha confirmado el descubrimiento de una vulnerabilidad crítica de ejecución remota de código (RCE) en su producto Connect Secure, identificada como CVE-2025-22457. La brecha de seguridad ha estado siendo explotada activamente por actores de amenazas chinos desde marzo de 2025, representando un riesgo significativo para organizaciones que utilizan estos sistemas de acceso remoto.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad se caracteriza por un desbordamiento de búfer en la pila con un conjunto limitado de caracteres válidos. Lo más preocupante es que puede ser explotada sin necesidad de autenticación ni interacción del usuario. Los productos afectados incluyen Pulse Connect Secure 9.1x, Ivanti Connect Secure versiones 22.7R2.5 y anteriores, Policy Secure, y Neurons para puertas de enlace ZTA.

Impacto y alcance del ataque

Investigadores de Mandiant y Google Threat Intelligence Group han atribuido los ataques al grupo UNC5221, conocido por sus operaciones sofisticadas. Los atacantes han desplegado dos nuevas herramientas maliciosas: TRAILBLAZE, un dropper que opera exclusivamente en memoria, y BRUSHFIRE, un backdoor pasivo. Adicionalmente, se ha detectado el uso del malware SPAWN, previamente documentado.

Medidas de mitigación y recomendaciones de seguridad

Ivanti ha publicado la actualización de seguridad 22.7R2.6 que corrige la vulnerabilidad. Los administradores de sistemas deben implementar inmediatamente las siguientes medidas:
– Actualizar todos los sistemas afectados a la versión 22.7R2.6
– Realizar escaneos regulares con la herramienta Integrity Checker Tool (ICT)
– Ejecutar un restablecimiento completo de fábrica si se detectan indicios de compromiso

Contexto histórico y perfil del atacante

El grupo UNC5221 ha estado activo desde 2023, especializándose en la explotación de vulnerabilidades zero-day en dispositivos de red perimetrales. A principios de 2025, este mismo grupo utilizó otra vulnerabilidad (CVE-2025-0282) en productos Ivanti para distribuir los malwares Dryhook y Phasejam.

Este incidente subraya la importancia crítica de mantener actualizados los sistemas de seguridad y realizar monitoreos constantes de la infraestructura de red. Las organizaciones que utilizan productos Ivanti deben priorizar la implementación de las actualizaciones de seguridad y realizar auditorías exhaustivas para identificar posibles compromisos. La rapidez en la respuesta y la aplicación de las medidas de mitigación recomendadas son fundamentales para proteger los activos corporativos contra estas amenazas emergentes.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

cybersecurefox.com

© 2025 INFO

PRIVACY POLICY terms of service