Специалисты компании Ivanti выявили и устранили критическую уязвимость удаленного выполнения кода (RCE) в продукте Connect Secure. Обнаруженная брешь, получившая идентификатор CVE-2025-22457, активно эксплуатировалась китайскими хакерами с марта 2025 года для распространения вредоносного ПО.
Технический анализ уязвимости
Уязвимость CVE-2025-22457 представляет собой переполнение буфера стека с ограниченным набором допустимых символов. Проблема затрагивает несколько продуктов компании: Pulse Connect Secure 9.1x, Ivanti Connect Secure версии 22.7R2.5 и более ранние, Policy Secure, а также Neurons для шлюзов ZTA. Особую опасность представляет тот факт, что для эксплуатации уязвимости не требуется аутентификация или взаимодействие с пользователем.
Меры по устранению и рекомендации
11 февраля 2025 года Ivanti выпустила обновление безопасности версии 22.7R2.6, полностью устраняющее уязвимость. Компания настоятельно рекомендует администраторам систем:
— Незамедлительно обновить программное обеспечение до версии 22.7R2.6
— Регулярно проверять системы с помощью Integrity Checker Tool (ICT)
— При обнаружении признаков компрометации выполнить полный сброс устройств к заводским настройкам
Анализ хакерской активности
По данным исследователей из Mandiant и Google Threat Intelligence Group (GTIG), за атаками стоит китайская группировка UNC5221. После успешной эксплуатации уязвимости хакеры развертывали два новых типа вредоносного ПО: дроппер TRAILBLAZE, работающий исключительно в оперативной памяти, и пассивный бэкдор BRUSHFIRE. Также отмечено использование ранее известного вредоносного ПО SPAWN.
История атак группировки UNC5221
Группировка UNC5221, известная с 2023 года, специализируется на эксплуатации уязвимостей нулевого дня в пограничных сетевых устройствах. В начале 2025 года эта же группа использовала другую уязвимость (CVE-2025-0282) в продуктах Ivanti для распространения вредоносных программ Dryhook и Phasejam.
Данный инцидент подчеркивает критическую важность своевременного обновления систем безопасности и постоянного мониторинга сетевой инфраструктуры. Организациям, использующим продукты Ivanti, настоятельно рекомендуется провести аудит безопасности и применить все необходимые обновления для минимизации рисков компрометации систем.
