SK-CERT Bezpečnostné varovanie V20250404-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 9.0
Identifikátor
Ivanti ICS, IPS, Policy Secure a ZTA Gateways – aktívne zneužívaná kritická bezpečnostná zraniteľnosť
Popis
Bezpečnostní výskumníci zverejnili informácie o kritickej bezpečnostnej zraniteľnosti produktov Ivanti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure a ZTA Gateways.
Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom pretečenia zásobníka vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi (minimálne od polovice marca 2025).
Dátum prvého zverejnenia varovania
3.4.2025
CVE
CVE-2025-22457
IOC
Súbory
/tmp/.i
/tmp/.r
/bin/dsmain
/lib/libdsupgrade.so
/tmp/.liblogblock.so
MD5
4628a501088c31f53b5c9ddf6788e835
e5192258c27e712c7acf80303e68980b
6e01ef1367ea81994578526b3bd331d6
ce2b6a554ae46b5eb7d79ca5e7f440da
10659b392e7f5b30b375b94cae4fdca0
Rodiny malvéru
TRAILBLAZE
BRUSHFIRE
SPAWN
Zasiahnuté systémy
Ivanti Connect Secure vo verzii staršej ako 22.7R2.6
Pulse Connect Secure (EoS) vo všetkých verziách
Ivanti Policy Secure vo verzii staršej ako 22.7R1.4 (záplata má byť dostupná 21. apríla 2025)
ZTA Gateways vo verzii staršej ako 22.8R2.2 (záplata má byť dostupná 19. apríla 2025)
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Produkty, ktoré už nie sú udržiavané, odporúčame nahradiť inými produktami s platnou podporou.
Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

SK-CERT UPOZORŇUJE: Prítomnosť ktoréhokoľvek z indikátorov uvedených v sekcii IoC tohto varovania v jednom z Vašich zariadení znamená, že sa zariadenie stalo predmetom útoku a je kompromitované. Rovnako považujte za kompromitované aj ostatné zariadenia pripojené v tej istej sieti a bezodkladne kontaktujte SK-CERT.
Zdroje
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US
https://www.ivanti.com/blog/security-update-pulse-connect-secure-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways
https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy