Ivanti, en az Mart 2025 ortasından beri kötü amaçlı yazılım dağıtmak için Çin bağlantılı bir casusluk aktörü tarafından kullanılan kritik bir bağlantı güvenli uzaktan kumanda yürütme güvenlik açığı yama için güvenlik güncellemeleri yayınladı.
CVE-2025-22457 olarak izlenen bu kritik güvenlik kusuru, yığın tabanlı bir tampon taşma zayıflığından kaynaklanmaktadır. Pulse Connect Secure 9.1x (Aralık ayında destek ucuna ulaşan), Ivanti Connect Secure 22.7R2.5 ve daha eski, ZTA ağ geçitleri için politika güvenli ve nöronları etkiler.
Ivanti’nin danışmanlığına göre, uzaktan tehdit aktörleri, kimlik doğrulama veya kullanıcı etkileşimi gerektirmeyen yüksek karmaşık saldırılarda kullanabilir. Şirket, başlangıçta bir ürün hatası olarak etiketlendikten sonra Ivanti Connect Secure 22.7R2.6’nın piyasaya sürülmesiyle 11 Şubat 2025’te güvenlik açığını yamaladı.
Ivanti Perşembe günü yaptığı açıklamada, “Güvenlik açığı, dönemler ve sayılarla sınırlı karakterlere sahip bir tampon taşmasıdır, değerlendirildi ve uzaktan kod yürütülmesi olarak sömürülebilir olmadığı ve hizmet reddi gereksinimlerini karşılamadığı belirlenmiştir.” Dedi.
“Bununla birlikte, Ivanti ve güvenlik ortaklarımız artık güvenlik açığının sofistike yollarla sömürülebilir olduğunu öğrendiler ve vahşi doğada aktif sömürü kanıtlarını belirlediler. Tüm müşterileri, güvenlik açığını gideren Ivanti Connect Secure 22.7R2.6’yı mümkün olan en kısa sürede çalıştırdıklarından emin olmaya teşvik ediyoruz.”
ZTA ve Ivanti Politikası Güvenlik Yamaları Güvenli Ağ Geçitleri hala geliştirilmektedir ve sırasıyla 19 Nisan ve 21 Nisan’da piyasaya sürülecek olsa da, Ivanti, “bu kırılganlıktan anlamlı bir şekilde azaltılmış riski” olan bu ağ geçitlerini hedefleyen “herhangi bir sömürünün farkında olmadığını” söyledi.
Ivanti ayrıca yöneticilere harici bütünlük denetleyici araçlarını (BİT) izlemelerini ve web sunucusu çökmelerini aramalarını tavsiye etti. Herhangi bir uzlaşma belirtisi keşfedilirse, yöneticiler fabrikada etkilenen cihazları sıfırlamalı ve yazılım sürüm 22.7R2.6 kullanarak üretime geri koymalıdır.
Ürün adı | Etkilenen sürüm (ler) | Çözülen sürüm (ler) | Yama müsaitliği |
Ivanti Connect Secure | 22.7r2.5 ve prior | 22.7R2.6 (Şubat 2025’te piyasaya sürüldü) | Portalı İndir |
Pulse Connect Secure (EOS) | 9.1R18.9 ve prior | 22.7r2.6 | Göç etmek için Ivanti ile iletişime geçin |
Ivanti Politikası Güvenli | 22.7r1.3 ve prior | 22.7R1.4 | 21 Nisan |
ZTA ağ geçitleri | 22.8r2 ve prior | 22.8R2.2 | 19 Nisan |
UNC5221 Çin-Nexus Cyberspies ile bağlantılı saldırılar
Ivanti henüz CVE-2025-22457 saldırıları ile ilgili daha fazla ayrıntı açıklamamış olsa da, Mantians ve Google Tehdit İstihbarat Grubu (GTIG) güvenlik araştırmacıları bugün, şüpheli bir Çin-Nexus casusluk aktörünün UNC5221 olarak izlenen güvenlik açığından yararlandığını açıkladı.
Güvenlik araştırmacıları, “Başarılı bir sömürü takiben, yeni tanımlanan iki kötü amaçlı yazılım ailesinin konuşlandırılmasını, Trailblaze sadece bellek içi damlalık ve fırça ateşi pasif arka kapıyı gözlemledik.” Dedi. “Ayrıca, UNC5221’e atfedilen daha önce bildirilen SPAWN ekosisteminin konuşlandırılması da gözlendi.”
UNC5221, 2023 yılından bu yana çeşitli Ivanti ve NetScaler aletleri de dahil olmak üzere ağ kenar cihazlarındaki sıfır gün güvenlik açıklarını hedeflemekle bilinir. Son zamanlarda, Çinli hackerlar, yeni Dryhook ve Fazjam kötü amaçlı yazılımlarını tehlikeye atılan VPN cihazlarına düşürmek için başka bir Ivanti Connect Secure Tampon Taşması olan CVE-2025-0282’den yararlandı.
Bir yıl önce, hackleme grubu ayrıca hedeflenen ICS VPN ve IPS Ağ Erişim Kontrolü (NAC) aletleri üzerinde keyfi komutları uzaktan yürütmek için iki bağlantı güvenli ve politika güvenli sıfır gün (CVE-2023-46805 ve CVE-2024-21887) zincirledi.. Kurbanlarından biri, ihlalin Nisan 2024’te açıklandığı açıklandı.
Tehdit İstihbarat Şirketi Volexity, Ocak 2024’te UNC5221’in iki sıfır günü zincirleyen saldırılarda hediye webshell’i kullanarak 2.100’den fazla Ivanti cihazını geri yüklediğini söyledi.
CISA ve FBI’ın Ocak 2025’te uyardığı gibi, saldırganlar, Eylül ayından bu yana yamalı Ivanti Bulut Servis Aletleri (CSA) güvenlik açıklarını hedefleyen istismarları kullanarak savunmasız ağları ihlal ediyorlar.
Şirketin VPN cihazlarına ve ICS, IPS ve ZTA ağ geçitlerine karşı yaygın saldırılarda geçen yıl boyunca birçok diğer Ivanti güvenlik kusuru kullanılmıştır.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.