Redazione RHC : 5 Aprile 2025 08:46
E’ stata pubblicata da Ivanti una vulnerabilità critica, che interessa i suoi prodotti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure e ZTA Gateway monitorata con il codice CVE-2025-22457.
Questo bug di sicurezza è un buffer overflow al quale è stato assegnato un punteggio pari a 9,0 in scala CVSS, ed sfruttato attivamente da metà marzo 2025. Tale bug crea significativi rischi per le organizzazioni che utilizzano queste soluzioni VPN e di accesso alla rete.
Dopo la divulgazione di IVANTI del 3 aprile 2025, Mandiant segnala lo sfruttamento da parte di UNC5221, un presunto gruppo sponsorizzato dallo stato cinese, da metà marzo. UNC5221, noto per aver preso di mira dispositivi edge, ha già sfruttato in precedenza zero-day di Ivanti come CVE-2023-46805.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità è stata risolta nella versione 22.7R2.6 di Ivanti Connect Secure l’11 febbraio 2025, ed era inizialmente considerata un problema di negazione del servizio a basso rischio a causa del suo set di caratteri limitato (punti e numeri). Anche lo CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha emesso un avviso riportando la gravità del bug di sicurezza.
Il difetto deriva da una convalida errata degli input, che consente agli aggressori di eseguire codice arbitrario. I prodotti di IVANTI affetti da questo bug sono i seguenti:
Gli aggressori usano CVE-2025-22457 per distribuire malware come Trailblaze (un dropper in memoria), Brushfire (una backdoor passiva) e la suite Spawn per il furto di credenziali e il movimento laterale. Dopo lo sfruttamento, manomettono i log usando strumenti come SPAWNSLOTH per eludere il rilevamento.
Tuttavia, è probabile che UNC5221 abbia eseguito il reverse engineering della patch, sviluppando un exploit RCE per sistemi non patchati, aumentandone così la gravità.
Ivanti consiglia di monitorare l’Integrity Checker Tool (ICT) per rilevare eventuali segnali di compromissione, come crash del server web. Se rilevati, si consiglia un ripristino delle impostazioni di fabbrica e un aggiornamento alla versione 22.7R2.6. Il blog di Mandiant fornisce ulteriori indicatori di compromissione. Un post su X di
Questo incidente segna la quindicesima apparizione di Ivanti nel catalogo KEV delle vulnerabilità note sfruttate di CISA dal 2024, segnalando sfide sistemiche alla sicurezza dei suoi dispositivi edge.
Il coinvolgimento di UNC5221 sottolinea la posta in gioco geopolitica, poiché gli attori legati alla Cina prendono sempre più di mira le infrastrutture per lo spionaggio. La divulgazione ritardata nonostante la patch di febbraio rivela lacune nella gestione delle vulnerabilità.
RedazioneIl presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo, “Launching the Genesis Mission”, che avvia un programma nazionale per l’utilizzo dell’intelligenza artificiale nell...
Piaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
Sulla veranda di una vecchia baita in Colorado, Mark Gubrud, 67 anni, osserva distrattamente il crepuscolo in lontananza, con il telefono accanto a sé, lo schermo ancora acceso su un’app di notizie...
Anthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
