Emergenza Ivanti: scoperta vulnerabilità critica sfruttata da APT collegati con la Cina

E’ stata pubblicata da Ivanti una vulnerabilità critica, che interessa i suoi prodotti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure e ZTA Gateway monitorata con il codice CVE-2025-22457.

Questo bug di sicurezza è un buffer overflow al quale è stato assegnato un punteggio pari a 9,0 in scala CVSS, ed sfruttato attivamente da metà marzo 2025. Tale bug crea significativi rischi per le organizzazioni che utilizzano queste soluzioni VPN e di accesso alla rete.

Dopo la divulgazione di IVANTI del 3 aprile 2025, Mandiant segnala lo sfruttamento da parte di UNC5221, un presunto gruppo sponsorizzato dallo stato cinese, da metà marzo. UNC5221, noto per aver preso di mira dispositivi edge, ha già sfruttato in precedenza zero-day di Ivanti come CVE-2023-46805.

La vulnerabilità è stata risolta nella versione 22.7R2.6 di Ivanti Connect Secure l’11 febbraio 2025, ed era inizialmente considerata un problema di negazione del servizio a basso rischio a causa del suo set di caratteri limitato (punti e numeri). Anche lo CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha emesso un avviso riportando la gravità del bug di sicurezza.

Il difetto deriva da una convalida errata degli input, che consente agli aggressori di eseguire codice arbitrario. I prodotti di IVANTI affetti da questo bug sono i seguenti:

• Ivanti Connect Secure : versioni 22.7R2.5 e precedenti.
• Pulse Connect Secure : versioni 9.1R18.9 e precedenti (fine del supporto a partire dal 31 dicembre 2024).
• Ivanti Policy Secure : versioni 22.7R1.3 e precedenti.
• Gateway ZTA : versioni 22.8R2 e precedenti.

Gli aggressori usano CVE-2025-22457 per distribuire malware come Trailblaze (un dropper in memoria), Brushfire (una backdoor passiva) e la suite Spawn per il furto di credenziali e il movimento laterale. Dopo lo sfruttamento, manomettono i log usando strumenti come SPAWNSLOTH per eludere il rilevamento.

Tuttavia, è probabile che UNC5221 abbia eseguito il reverse engineering della patch, sviluppando un exploit RCE per sistemi non patchati, aumentandone così la gravità.

Ivanti consiglia di monitorare l’Integrity Checker Tool (ICT) per rilevare eventuali segnali di compromissione, come crash del server web. Se rilevati, si consiglia un ripristino delle impostazioni di fabbrica e un aggiornamento alla versione 22.7R2.6. Il blog di Mandiant fornisce ulteriori indicatori di compromissione. Un post su X di

Questo incidente segna la quindicesima apparizione di Ivanti nel catalogo KEV delle vulnerabilità note sfruttate di CISA dal 2024, segnalando sfide sistemiche alla sicurezza dei suoi dispositivi edge.

Il coinvolgimento di UNC5221 sottolinea la posta in gioco geopolitica, poiché gli attori legati alla Cina prendono sempre più di mira le infrastrutture per lo spionaggio. La divulgazione ritardata nonostante la patch di febbraio rivela lacune nella gestione delle vulnerabilità.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research