Le groupe chinois APT UNC5221 semble avoir étudié un correctif sécurisé récent Ivanti Connect pour développer un exploit d’exécution de code distant sur les versions précédentes, et sur les appareils sécurisés de fin de support.
Ivanti avertit les clients qu’une vulnérabilité critique qui a un impact sur ses appareils VPN et autres produits a déjà été exploité dans la nature par un groupe de chinois APT. La faille a été initialement signalée par Ivanti comme un problème de déni de service, mais les attaquants ont compris comment l’exploiter pour l’exécution du code distant.
La vulnérabilité, désormais suivie sous le nom de CVE-2025-22457 avec un score de gravité de 9,0 (critique) sur l’échelle CVSS, a été exploitée pour déployer deux nouveaux programmes de logiciels malveillants sur les appliances Secure Appliances Ivanti Connect 22.7R2.5 et plus tôt et Pulse Connect Secure 9.1x Appliances qui avaient atteint la fin de la pointe en décembre.
Il convient de noter que la version 22.7R2.6 d’Ivanti Connect Secure, publiée en février, contient un correctif pour ce problème, mais il était à l’origine considéré comme un bogue de produit, pas une vulnérabilité.
« La vulnérabilité est un débordement de tampon avec un espace de caractère limité, et donc il a été initialement considéré comme une vulnérabilité au déni de service à faible risque », a écrit des intervenants incidents de Mandiant appartenant à Google dans un rapport sur le défaut. «Nous évaluons qu’il est probable que l’acteur de menace a étudié le patch pour la vulnérabilité dans ICS 22.7R2.6 et découvert par un processus compliqué, il a été possible d’exploiter 22.7R2.5 et plus tôt pour atteindre l’exécution du code distant.»
La vulnérabilité a également un impact sur les passerelles ZTA de la politique Ivanti Secure et Ivanti lorsqu’elles sont générées et laissées non connectées à un contrôleur ZTA. Ces produits n’ont pas encore de correctifs disponibles, mais l’exploitation active n’a pas été actuellement observée et l’exploitation est moins probable car la politique d’Ivanti sécurisée n’est pas censée être connectée à Internet et que les passerelles ZTA ne peuvent pas être exploitées lorsqu’elles sont déployées dans la correction de la production.
Ivanti estime que les patchs pour les passerelles ZTA et la Secure Policy seront publiés respectivement les 19 et 21 avril. Pulse Connect Secure, étant de fin de vie, ne recevra pas de correctif pour ce problème et est déjà ciblé pour l’exploitation active.
Le groupe APT connu déploie de nouveaux logiciels malveillants
Le Google Threat Intelligence Group (GTIG) et Mandiant ont commencé à voir des attaques exploitant cette vulnérabilité à la mi-mars et ont attribué les attaques à un groupe de cyberespionnage chinois qu’il suit en tant que UNC5221.
L’UNC5221 a été engagé dans l’exploitation zéro-jour des dispositifs de bord du réseau, y compris ceux d’Ivanti et Citrix NetScaler, depuis 2023. Les vulnérabilités ciblées précédemment incluent CVE-2025-0282, CVE-2023-46805 et CVE-2024-21887, impactant Ivanti Connect Secure; et CVE-2023-4966, impactant les appareils de passerelle NetScaler ADC et NetScaler.
Le groupe est connu pour le déploiement de logiciels malveillants personnalisés et de bornes à partir d’une boîte à outils Mandiant a surnommé Spawn. Ces outils ont également été utilisés dans les nouvelles attaques étudiées par Google, ainsi que deux programmes de logiciels malveillants complètement nouveaux.
Après une exploitation réussie de CVE-2025-22457, les attaquants déploient un script shell qui exécute ensuite un compte-gouttes malware que les chercheurs mandiant ont surnommé Trailblaze. Ce compte-gouttes existe uniquement dans la mémoire système sans créer de fichiers sur le disque; Son objectif est d’injecter une porte dérobée passive dans le processus légitime / home / bin / web.
La porte dérobée, surnommée Brushfire, accroche la fonction SSL_READ pour vérifier si les certificats TLS présentés au serveur Web contiennent une chaîne spéciale. Si la chaîne est présente, elle décryptera et exécutera le shellcode contenu dans la partie de données. C’est un moyen pour les attaquants d’exécuter à distance des commandes et des charges utiles supplémentaires sur les appareils compromis.
Comme dans les attaques précédentes, UNC5221 tente également de modifier l’outil interne Ivanti Integrity Checker (TIC) pour échapper à la détection. Cet outil peut être utilisé pour effectuer des analyses sur les appareils pour découvrir si des fichiers ont été modifiés.
Remédiation
Les organisations sont invitées à mettre à jour immédiatement leurs appareils électroménagers Ivanti Connect à la version 22.7R2.6 publiés en février ou ultérieure pour s’adresser au CVE-2025-22457. Les clients doivent également utiliser la version externe de l’outil de damier Integrity et rechercher des plantages de serveurs Web.
« Si votre résultat TIC montre des signes de compromis, vous devez effectuer une réinitialisation d’usine sur l’appareil, puis remettre l’appareil en production à l’aide de la version 22.7R2.6 », a déclaré Ivanti dans son avis.
« Pour compléter cela, les défenseurs devraient surveiller activement les vitesses de base liées au processus Web, enquêter sur les fichiers ICT STETEUmp et effectuer une détection d’anomalie des certificats TLS des clients présentés à l’appareil », ont déclaré les chercheurs mandiants.
