Ivanti a publié des mises à jour de sécurité pour corriger une vulnérabilité critique d’exécution de code à distance sécurisée Connect exploitée par un acteur d’espionnage lié à la Chine pour déployer des logiciels malveillants depuis au moins la mi-mars 2025.
Identifiée comme CVE-2025-22457, cette faille de sécurité critique est due à une faiblesse de débordement de tampon basée sur la pile. Cela a un impact sur Pulse Connect Secure 9.1 x (qui a atteint la fin de la prise en charge en décembre), Ivanti Connect Secure 22.7R2.5 et versions antérieures, Policy Secure et Neurons pour les passerelles ZTA.
Selon l’avis d’Ivanti, les auteurs de menaces distantes peuvent l’exploiter dans des attaques très complexes qui ne nécessitent ni authentification ni interaction de l’utilisateur. La société a corrigé la vulnérabilité le 11 février 2025 avec la sortie d’Ivanti Connect Secure 22. 7R2.6 après l’avoir initialement étiquetée comme un bogue de produit.
« La vulnérabilité est un débordement de tampon avec des caractères limités à des périodes et des nombres, elle a été évaluée et déterminée comme n’étant pas exploitable en tant qu’exécution de code à distance et ne répondant pas aux exigences de déni de service », a déclaré Ivanti jeudi.
« Cependant, Ivanti et nos partenaires de sécurité ont maintenant appris que la vulnérabilité est exploitable par des moyens sophistiqués et ont identifié des preuves d’exploitation active dans la nature. Nous encourageons tous les clients à s’assurer qu’ils exécutent Ivanti Connect Secure 22. 7R2.6 dès que possible, ce qui corrige la vulnérabilité. »
Alors que les correctifs de sécurité pour les passerelles sécurisées ZTA et Ivanti Policy sont toujours en développement et seront publiés respectivement le 19 et le 21 avril, Ivanti a déclaré qu’il n’était « au courant d’aucune exploitation » ciblant ces passerelles, qui ont également ce qui « risque significativement réduit de cette vulnérabilité. »
Ivanti a également conseillé aux administrateurs de surveiller leur outil de vérification de l’intégrité externe (ICT) et de rechercher les pannes du serveur Web. Si des signes de compromission sont découverts, les administrateurs doivent réinitialiser les appliances affectées aux paramètres d’usine et les remettre en production à l’aide de la version logicielle 22.7R2.6.
| Nom du Produit | Version(s)concernée (s) | Version(s)résolue (s) | Disponibilité des Correctifs |
| Ivanti Connect Secure | 22.7R2.5 and prior | 22.7R2.6 (released February 2025) | Download Portal |
| Pulse Connect Secure (EoS) | 9.1R18.9 and prior | 22.7R2.6 | Contact Ivanti to migrate |
| Ivanti Policy Secure | 22.7R1.3 and prior | 22.7R1.4 | April 21 |
| ZTA Gateways | 22.8R2 and prior | 22.8R2.2 | April 19 |
Attaques liées aux cyberespions chinois UNC5221-nexus
Alors qu’Ivanti n’a pas encore divulgué plus de détails concernant les attaques CVE-2025-22457, les chercheurs en sécurité de Mandiant et du Groupe de renseignement sur les menaces de Google (GTIG) ont révélé aujourd’hui qu’un acteur présumé d’espionnage lié à la Chine exploitait la vulnérabilité identifiée comme UNC5221 depuis au moins la mi-mars 2025.
« Suite à une exploitation réussie, nous avons observé le déploiement de deux familles de logiciels malveillants nouvellement identifiées, le compte-gouttes TRAILBLAZE en mémoire uniquement et la porte dérobée passive BRUSHFIRE. De plus, le déploiement de l’écosystème de SPAWN précédemment signalé de logiciels malveillants attribué à UNC5221 a également été observé », a déclaré Mandiant.
« Nous estimons qu’il est probable que l’auteur de la menace ait étudié le correctif de la vulnérabilité dans ICS 22.7R2.6 et découvert grâce à un processus compliqué, il était possible d’exploiter 22.7R2.5 et les versions antérieures pour exécuter du code à distance. »
UNC5221 est connu pour cibler les vulnérabilités zero-day dans les périphériques réseau périphériques depuis 2023, y compris diverses appliances Ivanti et NetScaler. Plus récemment, les pirates chinois ont exploité CVE-2025-0282, un autre débordement de tampon sécurisé Ivanti Connect, pour déposer de nouveaux logiciels malveillants Dryhook et Phasejam sur des appliances VPN compromises.
Il y a un an, le groupe de piratage a également enchaîné deux zero-days Connect Secure et Policy Secure (CVE-2023-46805 et CVE-2024-21887) pour exécuter à distance des commandes arbitraires sur des appliances ICS VPN et IPS network access control (NAC) ciblées. L’une de leurs victimes était la société MITRE, qui a divulgué la violation en avril 2024.
La société de renseignements sur les menaces Volexity a déclaré en janvier 2024 qu’UNC5221 avait backdoor plus de 2 100 appliances Ivanti à l’aide du webshell GIFTEDVISITOR lors d’attaques enchaînant les deux jours zéro.
Comme la CISA et le FBI l’ont averti en janvier 2025, les attaquants continuent de violer les réseaux vulnérables en utilisant des exploits ciblant les vulnérabilités de sécurité des appliances de service Cloud Ivanti (CSA) corrigées depuis septembre. Plusieurs autres failles de sécurité Ivanti ont été exploitées en tant que zero-days au cours de la dernière année contre les appliances VPN et les passerelles ICS, IPS et ZTA de l’entreprise.