Компанія Ivanti випустила оновлення безпеки для усунення критичної RCE-вразливості в Connect Secure. Щонайменше із середини березня 2025 року цей баг уже використовували китайські хакери для розгортання малварі.

Вразливість отримала ідентифікатор CVE-2025-22457 і пов’язана з переповненням буфера стека. Проблема зачіпає Pulse Connect Secure 9.1x (підтримка якого закінчилася в грудні 2024 року), Ivanti Connect Secure 22.7R2.5 і більш ранні версії, Policy Secure і Neurons для шлюзів ZTA.

За інформацією Ivanti, віддалені зловмисники могли використовувати цю вразливість в атаках високої складності, які не потребують аутентифікації або взаємодії з користувачем.

«Вразливість являє собою переповнення буфера з обмеженням на використовувані символи – тільки крапки і цифри. Після аналізу було встановлено, що її не можна експлуатувати для віддаленого виконання коду, і вона не відповідає критеріям для відмови в обслуговуванні, – пишуть розробники Ivanti. – Однак Ivanti та її партнерам з безпеки стало відомо, що вразливість може використовуватися в складних атаках, і було виявлено докази її активної експлуатації. Ми закликаємо всіх клієнтів якомога швидше встановити Ivanti Connect Secure версії 22.7R2.6, в якій усунуто вразливість».

Ivanti також порадила адміністраторам стежити за зовнішнім Integrity Checker Tool (ICT) і звертати увагу на збої в роботі веб-сервера. У разі виявлення будь-яких ознак компрометації рекомендується скинути зачеплені пристрої до заводських налаштувань і повернути їх в експлуатацію тільки під управлінням версії 22.7R2.6.

Компанія не повідомила жодних подробиць про атаки на CVE-2025-22457, але дослідники з Mandiant і Google Threat Intelligence Group (GTIG) з’ясували, що за експлуатацією уразливості стоїть пов’язане з Китаєм шпигунське угруповання UNC5221, яке використовувало баг із середини березня 2025 року.

Угруповання UNC5221 відоме фахівцям із 2023 року. Переважно воно націлене на вразливості нульового дня в прикордонних мережевих пристроях, включно з продуктами Ivanti і NetScaler. Наприклад, на початку 2025 року група використовувала іншу вразливість переповнення буфера в Ivanti Connect Secure (CVE-2025-0282) для поширення малварі Dryhook і Phasejam.