Ivanti je u četvrtak hitno objavio dokumentaciju za kritičnu ranjivost u svojim Connect Secure VPN uređajima i potvrdio prethodno upozorenje bezbjednosne firme Mandiant da kineska APT grupa aktivno iskorišćava taj propust.
Softverski propust, označen kao CVE-2025-22457 sa CVSS ocjenom težine 9/10, originalno je zakrpljen u februaru, ali nije bio ispravno dokumentovan jer je prvobitno klasifikovan kao “bug proizvoda” koji uzrokuje uskraćivanje usluge (DoS).
Kompanija je saopštila da je, zahvaljujući eksploataciji u realnim uslovima, otkriveno da se ne radi samo o rušenju softvera, već da ranjivost omogućava udaljene hakerske napade.
„Uspješna eksploatacija mogla bi dovesti do udaljenog izvršavanja koda“, navodi Ivanti u novom biltenu. Propust pogađa verzije Ivanti Connect Secure 22.7R2.5 i starije, kao i Pulse Connect Secure 9.x koji više nije podržan.
„Svjesni smo ograničenog broja korisnika čiji su Connect Secure (22.7R2.5 ili starije verzije) i Pulse Connect Secure 9.1x uređaji koji više nisu podržani, kompromitovani u trenutku objave ranjivosti“, navela je kompanija.
Ivantijevo hitno uputstvo dolazi istog dana kada je bezbjednosni tim Googleove Mandiant grupe saopštio da posjeduje „dokaze o aktivnoj eksploataciji u stvarnom svijetu“ protiv određenih Ivanti uređaja.
„Najraniji dokazi o iskorišćavanju CVE-2025-22457 datiraju iz sredine marta 2025.“, naveo je Mandiant, ističući da je haker povezan s Kinom iskoristio propust za instalaciju dropera koji radi samo u memoriji i pasivnog bekdora.
APT grupa, koju Mandiant trenutno prati pod oznakom UNC5221, prethodno je zabilježena kako sprovodi eksploataciju zero-day ranjivosti protiv Netscaler edge uređaja još od 2023. godine.
Mandiant vjeruje da je kineska hakerska grupa obrnuto analizirala februarsku Ivanti zakrpu i utvrdila da se ne radi samo o DoS bugu.
„Smatramo da je haker proučavao zakrpu za ranjivost u verziji ICS 22.7R2.6 i kroz složen proces otkrio mogućnost da se verzije 22.7R2.5 i starije iskoriste za udaljeno izvršavanje koda“, dodao je Mandiant.
Tim za incidentni odgovor takođe je pronašao dokaze da kineski hakeri koriste mrežu za prikrivanje tragova, koja uključuje kompromitovane Cyberoam uređaje, QNAP sisteme i ASUS rutere, kako bi sakrili stvarno porijeklo napada tokom upada.
Pored Connect Secure uređaja, Ivanti planira objavu zakrpa i za Policy Secure i ZTA Gateway proizvode. Zakrpa za Policy Secure je planirana za 21. april, a za ZTA Gateway za 19. april. Međutim, nijedna od ovih platformi trenutno nije pod aktivnim napadima.
Ivanti apeluje na korisnike da odmah pređu na verziju Connect Secure 22.7R2.6 i da se hitno migriraju sa nepodržanih Pulse Connect Secure uređaja.
„Ovo [Pulse Secure] rješenje je prestalo da prima podršku 31. decembra 2024. i više ne dobija nikakve izmjene koda. Ivanti ne može dati savjet korisnicima da ostanu na nepodržanoj verziji. Jedina opcija korisnika je prelazak na bezbjednu platformu radi zaštite“, poručuje kompanija.
Kompanija takođe ohrabruje korporativne timove za odbranu da nadgledaju spoljni ICT i prate moguće padove veb servera. „Ako vaš ICT rezultat pokazuje znake kompromitacije, trebalo bi da izvršite fabričko resetovanje uređaja, a zatim da ga vratite u produkciju koristeći verziju 22.7R2.6“, navodi se u saopštenju Ivantija.
Izvor: SecurityWeek
