Grave vulnerabilità Ivanti (CVE-2025-22457): attacchi attivi e patch disponibili

A partire da metà marzo 2025 sono stati rilevati attacchi attivi che sfruttano la vulnerabilità CVE-2025-22457, una falla di tipo stack-based buffer overflow con gravità critica (CVSS 9.0) che interessa i prodotti Ivanti Connect Secure (ICS), Pulse Connect Secure (PCS), Policy Secure e ZTA Gateways. La vulnerabilità permette a un attaccante remoto non autenticato di eseguire codice arbitrario sui dispositivi vulnerabili, compromettendo così la sicurezza di reti aziendali e infrastrutture critiche.

Ivanti aveva rilasciato una patch già a febbraio 2025 (versione 22.7R2.6 per ICS), ma la gravità della falla è emersa solo successivamente, quando si è scoperto che era possibile sfruttarla per ottenere il controllo remoto dei dispositivi. La vulnerabilità viene attivamente sfruttata da gruppi APT, in particolare UNC5221, sospettato di legami con la Cina. Gli attacchi osservati hanno portato all’installazione di malware sofisticati come TRAILBLAZE (dropper in memoria), BRUSHFIRE (backdoor passiva) e componenti della suite SPAWN, utilizzati per movimenti laterali, furto di credenziali e occultamento delle tracce.

Un proof-of-concept per lo sfruttamento è già disponibile in rete, aumentando il rischio di ulteriori attacchi. Si raccomanda a tutte le organizzazioni che utilizzano versioni vulnerabili di aggiornare immediatamente i propri sistemi alle versioni patchate. Per i prodotti non più supportati (come Pulse Connect Secure 9.x), non sono previsti aggiornamenti o workaround, mentre per Policy Secure e ZTA Gateways si consiglia di monitorare costantemente le comunicazioni del vendor per eventuali nuove patch.

Fonti: ACN, Google, Picus Security