Redazione RHC : 5 Aprile 2025 08:46
E’ stata pubblicata da Ivanti una vulnerabilità critica, che interessa i suoi prodotti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure e ZTA Gateway monitorata con il codice CVE-2025-22457.
Questo bug di sicurezza è un buffer overflow al quale è stato assegnato un punteggio pari a 9,0 in scala CVSS, ed sfruttato attivamente da metà marzo 2025. Tale bug crea significativi rischi per le organizzazioni che utilizzano queste soluzioni VPN e di accesso alla rete.
Dopo la divulgazione di IVANTI del 3 aprile 2025, Mandiant segnala lo sfruttamento da parte di UNC5221, un presunto gruppo sponsorizzato dallo stato cinese, da metà marzo. UNC5221, noto per aver preso di mira dispositivi edge, ha già sfruttato in precedenza zero-day di Ivanti come CVE-2023-46805.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità è stata risolta nella versione 22.7R2.6 di Ivanti Connect Secure l’11 febbraio 2025, ed era inizialmente considerata un problema di negazione del servizio a basso rischio a causa del suo set di caratteri limitato (punti e numeri). Anche lo CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha emesso un avviso riportando la gravità del bug di sicurezza.
Il difetto deriva da una convalida errata degli input, che consente agli aggressori di eseguire codice arbitrario. I prodotti di IVANTI affetti da questo bug sono i seguenti:
Gli aggressori usano CVE-2025-22457 per distribuire malware come Trailblaze (un dropper in memoria), Brushfire (una backdoor passiva) e la suite Spawn per il furto di credenziali e il movimento laterale. Dopo lo sfruttamento, manomettono i log usando strumenti come SPAWNSLOTH per eludere il rilevamento.
Tuttavia, è probabile che UNC5221 abbia eseguito il reverse engineering della patch, sviluppando un exploit RCE per sistemi non patchati, aumentandone così la gravità.
Ivanti consiglia di monitorare l’Integrity Checker Tool (ICT) per rilevare eventuali segnali di compromissione, come crash del server web. Se rilevati, si consiglia un ripristino delle impostazioni di fabbrica e un aggiornamento alla versione 22.7R2.6. Il blog di Mandiant fornisce ulteriori indicatori di compromissione. Un post su X di
Questo incidente segna la quindicesima apparizione di Ivanti nel catalogo KEV delle vulnerabilità note sfruttate di CISA dal 2024, segnalando sfide sistemiche alla sicurezza dei suoi dispositivi edge.
Il coinvolgimento di UNC5221 sottolinea la posta in gioco geopolitica, poiché gli attori legati alla Cina prendono sempre più di mira le infrastrutture per lo spionaggio. La divulgazione ritardata nonostante la patch di febbraio rivela lacune nella gestione delle vulnerabilità.
RedazioneUn nuovo post sul dark web offre l’accesso completo a migliaia di server e database MySQL appartenenti a provider italiani di hosting condiviso. Nelle ultime ore è apparso su un forum underground u...
Un grave incidente di sicurezza è stato segnalato da F5, principale fornitore di soluzioni per la sicurezza e la distribuzione delle applicazioni. Era stato ottenuto l’accesso a lungo termine ai si...
Un nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
Nonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...
