Après une faille critique touchant les VPN Ivanti exploitée en janvier dernier, Ivanti doit encore affronter un autre gros souci de sécurité. Le fournisseur a averti ses clients qu'une autre faille affectant ses appliances VPN et d'autres produits a déjà été exploitée par un groupe APT chinois. La faille avait été initialement signalée par l'éditeur comme un problème de déni de service, mais les attaquants ont trouvé le moyen de l'exploiter pour exécuter du code à distance. La vulnérabilité, désormais répertoriée comme CVE-2025-22457 avec un score de gravité de 9,0 (critique) sur l'échelle CVSS, a été exploitée pour déployer deux programmes malveillants sur les appliances Connect Secure versions 22.7R2.5 et antérieures ainsi que 9.1x qui ont atteint la fin de leur support en décembre. Il convient de noter que la version 22.7R2.6 de Connect Secure, publiée en février, contient un correctif pour ce problème, mais avait été considéré à l'origine comme un bogue de produit, et non comme une vulnérabilité.

« La faille est un débordement de mémoire tampon avec un espace de caractères limité et, par conséquent, on a d'abord cru qu'il s'agissait d'une vulnérabilité de déni de service à faible risque », indique Mandiant appartenant à Google, dans un rapport sur la faille. « Nous estimons qu'il est probable que l'acteur malveillant ait étudié le correctif pour la vulnérabilité dans ICS 22.7R2.6 et découvert, par un processus compliqué, qu'il était possible d'exploiter 22.7R2.5 et les versions antérieures pour réaliser une exécution de code à distance. » Ce trou de sécurité affecte également les passerelles ZTA Policy Secure et Neurons lorsqu'elles sont activées et non connectées à un contrôleur ZTA. Ces produits n'ont pas encore de correctifs disponibles, mais aucune exploitation active n'a été observée pour le moment et celle-ci est moins probable car Policy Secure n'est pas destiné à être connecté à l'internet et les passerelles ZTA ne peuvent pas être exploitées lorsqu'elles sont déployées en production. Ivanti estime que les correctifs pour les passerelles ZTA et Policy Secure seront publiés respectivement le 19 et le 21 avril. La version 9.1x EoS de Connect Secure, en fin de vie, ne recevra pas de correctif pour ce problème et est déjà la cible d'une exploitation active.

Un groupe APT connu déploie un nouveau logiciel malveillant

Google Threat Intelligence Group (GTIG) et Mandiant ont commencé à voir des attaques exploitant cette vulnérabilité à la mi-mars et les ont attribuées à un groupe de cyberespionnage chinois qu'ils suivent sous le nom de UNC5221. UNC5221 exploite depuis 2023 des dispositifs edge, notamment ceux d'Ivanti et de Citrix NetScaler. Les failles précédemment ciblées comprennent CVE-2025-0282, CVE-2023-46805 et CVE-2024-21887, impactant Connect Secure ; et CVE-2023-4966, impactant les appliances NetScaler ADC et NetScaler Gateway. Le groupe est connu pour le déploiement de logiciels malveillants personnalisés et de portes dérobées à partir d'une boîte à outils que Mandiant a baptisée Spawn. Ces outils ont également été utilisés dans les attaques étudiées par Google, ainsi que deux programmes malveillants entièrement nouveaux.

Après l'exploitation réussie de CVE-2025-22457, les attaquants déploient un script shell qui exécute ensuite un dropper malveillant que les chercheurs de Mandiant ont baptisé Trailblaze. Ce dropper n'existe que dans la mémoire du système sans créer de fichiers sur le disque ; son objectif est d'injecter une porte dérobée passive dans le processus légitime /home/bin/web. La porte dérobée, baptisée BRUSHFIRE, accroche la fonction SSL_read pour vérifier si les certificats TLS présentés au serveur web contiennent une chaîne spéciale. Si la chaîne est présente, elle décrypte et exécute le shellcode contenu dans la partie des données. Les attaquants peuvent ainsi exécuter à distance des commandes et des charges utiles supplémentaires sur les appareils compromis. Comme dans les attaques précédentes, UNC5221 tente également de modifier l'outil interne Ivanti Integrity Checker Tool (ICT) pour échapper à la détection. Cet outil peut être utilisé pour effectuer des analyses sur les appareils afin de découvrir si des fichiers ont été modifiés.

Quelle mesure de remédiation

Les entreprises sont invitées à mettre à jour immédiatement leurs appliances Ivanti Connect Secure avec la version 22.7R2.6 publiée en février ou plus tard, afin de résoudre le problème CVE-2025-22457. Les clients doivent également utiliser la version externe de l'outil Integrity Checker et rechercher les pannes du serveur web. « Si votre résultat ICT montre des signes de compromission, vous devez effectuer une réinitialisation d'usine sur l'appliance, puis remettre l'appliance en production en utilisant la version 22.7R2.6 », a déclaré Ivanti dans son avis. « En complément, les défenseurs doivent surveiller activement les vidages de noyau liés au processus Web, enquêter sur les fichiers ICT statedump et effectuer une détection des anomalies des certificats TLS des clients présentés à l'appliance », ont déclaré les chercheurs de Mandiant.