Aviso del 14 de febrero: Vulnerabilidades críticas en Ivanti Connect Secure, Policy Secure y CSA [CVE-2025-22467 y otras 3].

Fecha de divulgación (fuente): 11 de febrero de 2025

El 11 de febrero de 2025 se descubrieron varias vulnerabilidades en Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Cloud Services Appliance (CSA). Ivanti reveló un total de diez vulnerabilidades, ocho en su Aviso de seguridad de febrero y dos en su Aviso de seguridad de CSA. De las diez vulnerabilidades recientemente identificadas, cuatro recibieron puntuaciones CVSS de 9,1 o superiores (gravedad crítica).

Desglose de vulnerabilidades críticas: 

• CVE-2025-22467 es una vulnerabilidad de desbordamiento basada en pila que afecta a Ivanti Connect Secure anterior a la versión 22.7R2.6, con una puntuación CVSS de 9,9. Una explotación exitosa permite a un atacante remoto autenticado lograr la ejecución remota de código (RCE) 
• CVE-2024-38657 y CVE-2024-10644 son vulnerabilidades críticas que afectan a Ivanti Connect Secure (anterior a la versión 22.7R2.4) y Policy Secure (anterior a la versión 22.7R1.3), ambas con una puntuación CVSS de 9,1.
  • CVE-2024-38657 puede permitir a un atacante remoto autenticado con privilegios administrativos escribir archivos arbitrarios si se explota.
  • CVE-2024-10644 puede permitir a un atacante remoto autenticado con privilegios administrativos lograr RCE si se explota. 
• CVE-2024-47908 es una vulnerabilidad crítica que afecta a la consola web de administración de Ivanti Cloud Services Appliance (CSA) anterior a la versión 5.0.5, con una puntuación CVSS de 9.1. Una explotación exitosa permite a un atacante remoto autenticado con privilegios administrativos lograr la ejecución remota de código (RCE)
  

Es interesante que todas estas vulnerabilidades requieren autenticación y todas menos una requieren privilegios administrativos. Esto representa un obstáculo importante para explotar con éxito estas vulnerabilidades en comparación con las que permiten la explotación sin autenticación. A pesar de ello, Ivanti asignó a todas estas vulnerabilidades una puntuación de gravedad crítica. 

El proveedor ha declarado que no tiene conocimiento de que ninguna de estas vulnerabilidades esté siendo explotada activamente, aunque las vulnerabilidades de Ivanti han sido históricamente atacadas en el pasado. 

A 12 de febrero de 2025, hay 16 vulnerabilidades Ivanti, incluyendo siete reveladas en el último año, listadas en el catálogo de Vulnerabilidades Explotadas Conocidas de CISA que afectan a uno o más de los siguientes productos:

• Ivanti Pulse Secure (renombrado como Ivanti Connect Secure en 2020)
• Ivanti Connect Secure 
• Política Ivanti Segura 
• Dispositivo Ivanti Cloud Services 

Dada la gravedad de estas vulnerabilidades y el historial de Ivanti como objetivo, las organizaciones deben actuar con rapidez para aplicar los parches y las medidas de mitigación descritas en los avisos de los proveedores. 

Campo	Detalles
CVE-ID	CVE-2025-22467 - CVSS 9.9 (crítico) - asignado por Ivanti CVE-2024-10644 - CVSS 9.1 (crítico) - asignado por Ivanti CVE-2024-38657 - CVSS 9.1 (crítico) - asignado por Ivanti CVE-2024-47908 - CVSS 9.1 (crítico) - asignado por Ivanti
Descripción de la vulnerabilidad	CVE-2025-22467 - a desbordamiento de búfer basado en pila que permite a un atacante remoto autenticado conseguir RCE. CVE-2024-10644 - a inyección de código que permite a un atacante remoto autenticado con privilegios de administrador conseguir RCE. CVE-2024-38657 - control externo de un archivo name en Ivanti Connect Secure que permite a un atacante remoto autenticado con privilegios administrativos escribir archivos arbitrarios. CVE-2024-47908 - una inyección de comandos de SO en la consola web de administración de Ivanti CSA que permite a un atacante remoto autenticado con privilegios administrativos lograr RCE.
Fecha de divulgación	Estas vulnerabilidades fueron reveladas por Ivanti el 11 de febrero de 2025 en su Aviso de seguridad de febrero y en un Aviso de seguridad para Ivanti CSA.
Activos afectados	CVE-2025-22467 afecta a Ivanti Connect Secure. CVE-2024-38657 y CVE-2024-10644 afectan a Ivanti Connect Secure y Policy Secure. CVE-2024-47908 afecta a la consola web admin de Ivanti CSA.
Versiones de software vulnerables	Ivanti Connect Secure antes de versión 22.7R2.6 (CVE-2025-22467). Ivanti Connect Secure anterior a la versión 22.7R2.4 y Policy Secure anterior a versión 22.7R1.3 (CVE-2024-38657 Y CVE-2024-10644). Ivanti CSA anterior a la versión 5.0.5. (CVE-2024-47908)
¿PoC disponible?	No observamos ningún exploit público disponible para estas vulnerabilidades en el momento de redactar este documento.
Estado de explotación	No observamos ninguna de estas vulnerabilidades en la lista de vulnerabilidades explotadas conocidas de CISA, e Ivanti declaró que no tienen conocimiento de ninguna explotación activa.
Estado del parche	Ivanti ha solucionado y parcheado estas vulnerabilidades. Véase su Aviso de seguridad de febrero y Aviso de seguridad de CSA para más información.

Censys Perspectiva

En el momento de redactar este informe, Censys observó 33,232 de instancias Ivanti Connect Secure e Ivanti CSA expuestas en línea. Una gran proporción de ellas (28%) están geolocalizadas en Estados Unidos. Tenga en cuenta que no todas las instancias observadas son necesariamente vulnerables, ya que no siempre disponemos de versiones específicas.

We did, however, see 14,574 instances of Ivanti Connect Secure exposing a version that may indicate vulnerability to CVE-2025-22467 (versions < 22.7R2.6) and CVE-2024-38657/CVE-2024-10644 (versions < 22.7R2.4). See the table below for the versions we saw most frequently exposed. 

Versión	Recuento de anfitriones
9.1.18	10106
9.1.14	919
22.3.17	711
8.3.7	497
9.1.11	249
9.1.15	194
22.2.16	142
8.1.15	126
9.1.12	120
9.1.13	118

Hay un gran número de versiones que coinciden con 9.X y 8.Xversiones de Ivanti Connect Secure (anteriormente conocido como Pulse Connect Secure), que han alcanzado sus fechas de fin de ingeniería y soporte. Ivanti ha instado encarecidamente a los clientes a actualizar estas instancias a Ivanti Connect Secure 22.7 para aprovechar sus nuevas actualizaciones y funciones de seguridad.

Mapa de instancias Ivanti Connect Secure y CSA expuestas

Censys Consulta de búsqueda:

services.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not labels: {honeypot, tarpit}

Consulta de la plataforma Censys :

(host.services.software: (vendor:"Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not host.labels.value: {"HONEYPOT", "TARPIT"}) or (web.software: (vendor:"Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) and not web.labels.value: {"HONEYPOT", "TARPIT"})

Censys Consulta ASM:

(host.services.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"}) or web_entity.instances.software: (vendor="Ivanti" and product: {"Connect Secure", "Cloud Services Appliance"})) and not host.labels: {honeypot, tarpit}

Consulta de riesgos de ASM Censys [CVE-2024-10644 y CVE-2024-38657]:

risks.name = "Vulnerable Ivanti Connect Secure Application [CVE-2024-10644 & CVE-2024-38657]"

Consulta de riesgos de ASM Censys [CVE-2025-22467]:

risks.name = "Vulnerable Ivanti Connect Secure Application [CVE-2025-22467]"

Referencias

• Aviso de seguridad de febrero Ivanti Connect Secure (ICS),Ivanti Policy Secure (IPS) e Ivanti Secure Access Client (ISAC) (múltiples CVE)
• Aviso de seguridad Ivanti Cloud Services Application (CSA) (CVE-2024-47908, CVE-2024-11771)
• CVE-2025-22467 Aviso sobre NVD
• CVE-2024-10644 Aviso sobre NVD
• CVE-2024-47908 Aviso sobre NVD