Preko 5113 Ivanti Connect Secure VPN uređaja ostaje nezakrpljeno i ranjivo na aktivnu eksploataciju CVE-2025-22457, kritične ranjivosti bafera zasnovane na steku koja omogućava daljinsko izvršavanje koda (RCE).
Nedavna skeniranja Shadowserver Foundation otkrila su široku izloženost, s uređajima koji pokrivaju više zemalja, uključujući Sjedinjene Države, Japan, Kinu i Australiju.
Ovu ranjivost već su u divljini iskoristili osumnjičeni hakeri iz nacionalne države.
Ranjivost prekoračenja bafera zasnovanog na steku
CVE-2025-22457 je ranjivost prepunjavanja međuskladištem zasnovana na steku sa CVSS rezultatom 9,0 koja utiče na više Ivanti proizvoda, uključujući Ivanti Connect Secure (verzije 22.7R2.5 i starije), Pulse Connect Secure (9.1R18.9 i ranije), Ivanti Policy Secure1. i ranije, ZTA Gaway. (22.8R2 i ranije).
Greška omogućava udaljenim napadačima bez autentifikacije da izvrše proizvoljan kod na ranjivim uređajima bez potrebe za interakcijom korisnika.
Kada je zakrpljen 11. februara 2025., prvobitno je klasifikovan kao greška proizvoda koja se ne može iskoristiti. Međutim, Ivanti je kasnije otkrio da je bilo “iskorišćavanje sofisticiranim sredstvima”, a dokazi o aktivnoj eksploataciji datiraju od sredine marta 2025.
“Ranjivost je buffer overflow sa znakovima ograničenim na tačke i brojeve, procijenjena je i utvrđena da se ne može iskoristiti kao daljinsko izvršavanje koda i nije ispunila zahtjeve uskraćivanja usluge”, naveo je Ivanti u svom savjetovanju.
Sažetak ranjivosti je dat u nastavku:
| Faktori rizika | Detalji |
| Pogođeni proizvodi | – Ivanti Connect Secure: 22.7R2.5 i stariji- Pulse Connect Secure: 9.1R18.9 i stariji (Prestanak podrške od 31. decembra 2024.)- Ivanti Policy Secure: 22.7R1.3 i stariji- ZTA Gateways: 22.8R2 i stariji |
| Uticaj | Daljinsko izvršenje koda (RCE) |
| Preduvjeti za eksploataciju | – Udaljeni vektor napada bez autentifikacije – Napad zasnovan na mreži – Visoka složenost napada – Nisu potrebne privilegije |
| CVSS 3.1 Score | 9.0 (kritično) |
Kampanja eksploatacije nacionalne države
Istraživači sigurnosti u Google-ovom Mandiant-u pripisali su eksploataciju UNC5221, osumnjičenom hakeru vezanim za Kinu s istorijom ciljanja rubnih uređaja.
Nakon uspješne eksploatacije, istraživači su primijetili primjenu dvije novoidentifikovane porodice malicioznog softvera:
- TRAILBLAZE: Kapalica u memoriji koja se koristi u početnoj fazi infekcije.
- BRUSHFIRE: Pasivna zadnja vrata dizajnirana za uporan pristup i špijunažu.
Ovi alati omogućavaju napadačima da zadrže dugoročni pristup ugroženim mrežama u svrhu eksfiltracije podataka i prikupljanja obavještajnih podataka. Kampanja je navodno ciljala organizacije u više zemalja i sektora.
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) dodala je CVE-2025-22457 u svoj Katalog poznatih iskorištenih ranjivosti, nalažući saveznim agencijama da poduzmu hitne mjere.
Za organizacije koje koriste zahvaćene proizvode, CISA i Ivanti preporučuju:
- Provođenje lova na prijetnje koristeći Ivantijev alat za provjeru integriteta (ICT).
- Vršenje fabričkog resetovanja za najviši nivo pouzdanosti.
- Odmah primenite dostupne zakrpe (Ivanti Connect Secure 22.7R2.6).
- Isključivanje ranjivih Policy Secure i ZTA Gateways dok zakrpe ne postanu dostupne 21. i 19. aprila, respektivno.
- Opoziv i ponovno izdavanje svih certifikata, ključeva i lozinki ako se otkrije kompromis.
„Za sve instance Ivanti Connect Secure-a koje nisu ažurirane do 28. februara 2025. na najnoviju Ivanti zakrpu (22.7R2.6) i sve instance Pulse Connect Secure (EoS), Policy Secure i ZTA Gateways, CISA poziva korisnike i administratore da implementiraju [ublažavanje] radnje stanja.
Globalni rezultati skeniranja Shadowserver Foundation ističu brojne organizacije koje ostaju ranjive uprkos dostupnim zakrpama i aktivnoj eksploataciji.
Izvor: CyberSecurityNews
