**Actualización** (13 de enero de 2025): A fecha de hoy, hemos detectado 12.335 instancias de Ivanti Connect Secure potencialmente vulnerables y expuestas a Internet que muestran indicios de ejecutar una versión anterior a 22.7R2.5, aproximadamente el 37% del total expuesto. Sólo unas 120 instancias parecen estar ejecutando el parche. Se recomienda aplicar los parches para Connect Secure y las mitigaciones para otros productos afectados lo antes posible.
Fecha de divulgación (fuente): 8 de enero de 2025
Fecha en que se comunicó que había sido explotada activamente (fuente): 8 de enero de 2025
CVE-2025-0282 es una vulnerabilidad crítica que afecta a varios dispositivos de red Ivantiincluidos Ivanti Connect Secure (versiones anteriores a 22.7R2.5), Ivanti Policy Secure (versiones anteriores a 22.7R1.2) e Ivanti Neurons para pasarelas ZTA (versiones anteriores a 22.7R2.3). Se trata de una vulnerabilidad de desbordamiento de pila que permite a un atacante remoto no autenticado ejecutar código arbitrario en sistemas vulnerables.
Revelada por Ivanti el 8 de enero de 2025, la vulnerabilidad se añadió inmediatamente al catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA debido a la explotación observada en la naturaleza. Mandiant e Ivanti están llevando a cabo una investigación conjunta y han detectado explotaciones que se remontan a mediados de diciembre de 2024. También se ha observado actividad posterior a la explotación, incluido el movimiento lateral y el despliegue de malware SPAWN en los dispositivos comprometidos. Estas tácticas se parecen a las utilizadas en campañas anteriores por actores potencialmente vinculados a China que explotaban vulnerabilidades Ivanti más antiguas, como CVE-2023-46805 y CVE-2024-21887.
El número exacto de actores de amenazas que se dirigen a esta vulnerabilidad sigue sin estar claro. Ivanti recomienda utilizar su herramienta herramienta de comprobación de integridad para identificar signos de compromiso, y blog de Mandiant proporciona indicadores adicionales de compromiso (IoC) para una mayor investigación.
| Campo |
Detalles |
| CVE-ID |
CVE-2025-0282 - CVSS 9.0 (Crítico) - asignado por Ivanti |
| Descripción de la vulnerabilidad |
Un desbordamiento de búfer basado en pila en Ivanti Connect Secure antes de la versión 22.7R2.5, Ivanti Policy Secure antes de la versión 22.7R1.2 e Ivanti Neurons para pasarelas ZTA antes de la versión 22.7R2.3 permite a un atacante remoto no autenticado lograr la ejecución remota de código. |
| Fecha de divulgación |
8 de enero de 2025 |
| Activos afectados |
Afecta a lo siguiente:
- Ivanti Connect Secure
- Política Ivanti Segura
- Neuronas Ivanti para pasarelas ZTA
|
| Versiones de software vulnerables |
- Ivanti Connect Secure antes de la versión 22.7R2.5
- Ivanti Policy Secure antes de la versión 22.7R1.2
- Neuronas Ivanti para pasarelas ZTA anteriores a la versión 22.7R2.3
|
| ¿PoC disponible? |
En el momento de redactar este documento, no hay ninguna PdC disponible públicamente. |
| Estado de explotación |
Esta vulnerabilidad ha sido explotada activamente desde al menos mediados de diciembre de 2024, según Ivanti y Mandiant. Ivanti informó de que solo tienen constancia de la explotación en instancias de Connect Secure, y que "no tienen constancia de que estos CVE se hayan explotado en pasarelas Ivanti Policy Secure o ZTA." |
| Estado del parche |
Ivanti ha proporcionado orientación para remediar Connect Secure en su aviso publicado el 8 de enero de 2025. Tienen previsto publicar una solución para Ivanti Policy Secure e Ivanti Neurons para ZTA Gateways el 21 de enero de 2025. |
Censys Perspectiva
En el momento de redactar este documento, Censys ha identificado 33,542 instancias expuestas de Ivanti Connect Secure expuestas (no todas necesariamente vulnerables). La mayoría de ellas se encuentran en Estados Unidos y Japón, y la mayoría no revela públicamente su versión de software. No se tiene acceso a Policy Secure (que no está orientado a Internet) ni a Neurons for ZTA.
Mapa de instancias Ivanti Connect Secure expuestas
Censys Consulta de búsqueda de instancias EXPUESTAS:
services.software: (vendor="Ivanti" and product="Connect Secure") and not labels: {honeypot, tarpit}
Censys Consulta ASM para instancias EXPUESTAS:
host.services.software: (vendor="Ivanti" and product="Connect Secure") and not host.labels: {honeypot, tarpit}
Censys Consulta de riesgos ASM para instancias potencialmente vulnerables:
risks.name: "Vulnerable Ivanti Connect Secure Application [CVE-2025-0282 & CVE-2025-0283]"
Tenga en cuenta que este riesgo se ha desplegado recientemente y que los resultados pueden tardar 24 horas en propagarse por completo.
Referencias
