CVE-2025-22457: Ivanti Connect Secure com buffer overflow explorado por APT ligado à China

Em 4 de abril de 2025, a CISA adicionou o CVE-2025-22457 ao catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV), exigindo que agências federais americanas aplicassem o patch até 11 de abril. A falha é um estouro de buffer baseado em pilha (CVSS 9.0) presente no Ivanti Connect Secure, Policy Secure e ZTA Gateways que permite execução remota de código sem autenticação.

A Mandiant identificou que um grupo de espionagem vinculado ao Ministério de Segurança do Estado da China (MSS) vinha explorando a vulnerabilidade desde meados de março de 2025, implantando os malwares TRAILBLAZE (dropper em memória), BRUSHFIRE (backdoor passivo) e o conjunto SPAWN para manter acesso persistente em ambientes comprometidos. O patch havia sido disponibilizado em fevereiro de 2025 como ICS 22.7R2.6, mas muitas organizações não o haviam aplicado.

Equipes de segurança com appliances Ivanti Connect Secure versões 22.7R2.5 e anteriores, Policy Secure versões 22.7R1.3 e anteriores, ou ZTA Gateways versões 22.8R2 e anteriores devem aplicar o patch com urgência. Recomenda-se também realizar verificação de integridade do sistema e análise de logs em busca de acesso anômalo, especialmente em portas de gerenciamento expostas.

Fonte: CISA / Mandiant. Alerta disponível em cisa.gov.