Ivanti telah mengungkapkan rincian kerentanan keamanan kritis yang sekarang ditonton yang berdampak pada Connect Secure yang telah di bawah eksploitasi aktif di alam liar.
Kerentanan, dilacak sebagai CVE-2025-22457 (Skor CVSS: 9.0), menyangkut kasus overflow buffer berbasis tumpukan yang dapat dieksploitasi untuk mengeksekusi kode sewenang-wenang pada sistem yang terkena dampak.
“Luapan buffer berbasis tumpukan di Ivanti Connect Secure sebelum versi 22.7R2.6, Ivanti Policy Secure sebelum versi 22.7R1.4, dan Ivanti ZTA Gateways sebelum Versi 22.8R2.2 memungkinkan penyerang jarak jauh yang tidak terautentikasi untuk mencapai eksekusi kode jarak jauh,” kata Ivanti dalam peringatan yang dirilis Kamis.
Kelemahannya berdampak pada produk dan versi berikut –
- Ivanti Connect Secure (versi 22.7r2.5 dan sebelumnya) – ditetapkan dalam versi 22.7r2.6 (tambalan dirilis pada 11 Februari 2025)
- Pulse Connect Secure (Versi 9.1R18.9 dan Prior)-ditetapkan dalam versi 22.7r2.6 (hubungi Ivanti untuk bermigrasi karena perangkat telah mencapai akhir-dukungan pada tanggal 31 Desember 2024)
- Ivanti Policy Secure (Versi 22.7R1.3 dan Prior) – ditetapkan dalam versi 22.7R1.4 (akan tersedia pada 21 April)
- ZTA Gateways (Versi 22.8R2 dan Prior) – ditetapkan dalam versi 22.8R2.2 (akan tersedia pada 19 April)
Perusahaan mengatakan bahwa mereka mengetahui “jumlah pelanggan yang terbatas” yang connect aman dan akhir-dukungan Pulse Connect Appliances telah dieksploitasi. Tidak ada bukti bahwa kebijakan yang aman atau gerbang ZTA telah berada di bawah penyalahgunaan di bawah liar.
“Pelanggan harus memantau TIK eksternal mereka dan mencari crash server web,” kata Ivanti. “Jika hasil TIK Anda menunjukkan tanda -tanda kompromi, Anda harus melakukan reset pabrik pada alat dan kemudian memasukkan alat kembali ke produksi menggunakan versi 22.7R2.6.”
Perlu disebutkan di sini yang menghubungkan Secure Version 22.7R2.6 juga membahas beberapa kerentanan kritis (CVE-2024-38657, CVE-2025-22467, dan CVE-2024-10644) yang dapat mengizinkan penyerang yang diautentikasi jauh untuk menulis file sewitrer dan menjalankan kode arbitrary.
Mandiant milik Google, dalam sebuah buletin sendiri, mengatakan pihaknya mengamati bukti eksploitasi CVE-2025-22457 pada pertengahan Maret 2025, memungkinkan para aktor ancaman untuk memberikan penetes dalam memori yang disebut Trailblaze, sebuah kuas yang diputar secara berteriak, dan rekan malware spawn.
Rantai serangan pada dasarnya melibatkan penggunaan dropper skrip shell multi-tahap untuk menjalankan perintis, yang kemudian menyuntikkan kuas langsung ke memori proses web yang sedang berjalan dalam upaya untuk menghindari deteksi. Kegiatan eksploitasi dirancang untuk membangun akses backdoor yang persisten pada peralatan yang dikompromikan, berpotensi memungkinkan pencurian kredensial, intrusi jaringan lebih lanjut, dan exfiltrasi data.
Penggunaan Spawn disebabkan oleh musuh China-Nexus yang dilacak sebagai UNC5221, yang memiliki sejarah memanfaatkan kekurangan zero-hari di Ivanti Connect Secure (ICS), di samping kelompok lain seperti UNC5266, UNC5291, UNC5325, UNC5330, UNCBAC537, dan UNC537.
UNC5221, per pemerintah AS, juga telah dinilai untuk berbagi tumpang tindih dengan kelompok -kelompok ancaman seperti APT27, Topan Sutra, dan Uta0178. Namun, perusahaan intelijen ancaman mengatakan kepada Hacker News bahwa mereka tidak memiliki cukup bukti untuk mengkonfirmasi hubungan ini.
“Mandiant Tracks UNC5221 sebagai sekelompok kegiatan yang telah berulang kali mengeksploitasi perangkat tepi dengan kerentanan nol-hari,” Dan Perez, pimpinan Teknis Misi Tiongkok, Google Ancaman Intelijen, mengatakan kepada publikasi tersebut.
“Hubungan antara cluster ini dan APT27 yang dibuat oleh pemerintah masuk akal, tetapi kami tidak memiliki bukti independen untuk mengkonfirmasi. Topan sutra adalah nama Microsoft untuk kegiatan ini, dan kami tidak dapat berbicara dengan atribusi mereka.”
UNC5221 juga telah diamati memanfaatkan jaringan pengayaan dari peralatan cyberoam yang dikompromikan, perangkat QNAP, dan router ASUS untuk menutupi sumber sebenarnya selama operasi intrusi, sebuah aspek yang juga disorot oleh Microsoft awal bulan lalu, merinci topan sutra terbaru.
Perusahaan lebih lanjut berteori bahwa aktor ancaman kemungkinan menganalisis tambalan Februari yang dirilis oleh Ivanti dan mencari cara untuk mengeksploitasi versi sebelumnya untuk mencapai eksekusi kode jarak jauh terhadap sistem yang tidak ditandingi. Pengembangan menandai pertama kalinya UNC5221 dikaitkan dengan eksploitasi N-Day dari cacat keamanan pada perangkat Ivanti.
“Kegiatan terbaru dari UNC5221 ini menggarisbawahi penargetan perangkat tepi yang berkelanjutan secara global oleh kelompok spionase China-Nexus,” kata Charles Carmakal, Mandiant Consulting CTO, mengatakan.
“Aktor-aktor ini akan terus meneliti kerentanan keamanan dan mengembangkan malware khusus untuk sistem perusahaan yang tidak mendukung solusi EDR. Kecepatan aktivitas intrusi cyber oleh aktor spionase China-Nexus terus meningkat dan para aktor ini lebih baik dari sebelumnya.”
