Компанія Ivanti повідомила про виявлення критичної вразливості віддаленого виконання коду (RCE) у своїх продуктах безпеки. Вразливість CVE-2025-22457 активно використовувалася китайськими хакерами з березня 2025 року для проведення цільових атак на корпоративні мережі.
Технічні деталі вразливості та її вплив
Виявлена вразливість являє собою переповнення буфера стека з обмеженим набором символів, що не потребує автентифікації для експлуатації. Під загрозою опинилися користувачі Pulse Connect Secure 9.1x, Ivanti Connect Secure до версії 22.7R2.5, Policy Secure та Neurons для шлюзів ZTA. Особливу небезпеку становить можливість віддаленої експлуатації без взаємодії з користувачем.
Дії зловмисників та використане шкідливе ПЗ
За даними дослідників з Mandiant та Google Threat Intelligence Group, атаки проводила китайська група UNC5221. Хакери застосовували новітній інструментарій: резидентний у пам’яті дроппер TRAILBLAZE та прихований бекдор BRUSHFIRE. Додатково використовувалось раніше відоме шкідливе ПЗ SPAWN для закріплення в скомпрометованих системах.
Заходи протидії та рекомендації з безпеки
Ivanti випустила критичне оновлення безпеки версії 22.7R2.6, що усуває виявлену вразливість. Фахівці з кібербезпеки наполегливо рекомендують:
– Терміново оновити програмне забезпечення до актуальної версії
– Регулярно перевіряти цілісність систем за допомогою ICT
– У разі виявлення ознак компрометації здійснити повне відновлення заводських налаштувань
Історія та методи роботи групи UNC5221
Хакерське угруповання UNC5221, що діє з 2023 року, спеціалізується на експлуатації вразливостей нульового дня в мережевому обладнанні. На початку 2025 року група вже використовувала іншу вразливість (CVE-2025-0282) в продуктах Ivanti для поширення шкідливих програм Dryhook та Phasejam.
Цей інцидент черговий раз підкреслює критичну важливість своєчасного оновлення систем безпеки та постійного моніторингу мережевої інфраструктури. Організаціям рекомендується негайно провести аудит безпеки, впровадити багаторівневий захист та забезпечити регулярне оновлення програмного забезпечення для мінімізації ризиків кібератак.
