Des cyberespions chinois exploitent cette nouvelle faille dans les solutions Ivanti : CVE-2025-22457
Une nouvelle faille de sécurité critique affecte les solutions de chez Ivanti, notamment Connect Secure. La mauvaise nouvelle, c'est que cette vulnérabilité est exploitée depuis la mi-mars 2025 par un groupe de pirates. Voici ce que l'on sait.
CVE-2025-22457 : une nouvelle menace pour Ivanti
Associée à la référence CVE-2025-22457, cette nouvelle vulnérabilité correspond à un débordement de tampon basé sur une pile (stack-based buffer overflow). D'après le bulletin de sécurité d'Ivanti, cette faille de sécurité peut être exploitée à distance dans le cadre d'attaques complexes, mais qui ne nécessite ni authentification ni interaction d'un utilisateur. Nous verrons d'ailleurs par la suite que cette vulnérabilité a été exploitée pour déployer des malwares.
Initialement perçue comme un simple bug, la vulnérabilité a finalement été corrigée le 11 février 2025 par Ivanti. "Ivanti et ses partenaires en matière de sécurité ont appris que cette vulnérabilité pouvait être exploitée par des moyens sophistiqués et ont identifié des preuves d'une exploitation active dans la nature.", peut-on lire.
La faille de sécurité CVE-2025-22457 affecte plusieurs produits de chez Ivanti, dont la solution Ivanti Connect Secure pour laquelle un patch a été publié. D'autres patchs sont attendus dans les prochaines semaines. Voici un récapitulatif de la situation :
| Nom du produit | Versions affectées | Versions patchées | Disponibilité du patch |
| Ivanti Connect Secure | 22.7R2.5 et antérieures | 22.7R2.6 | 11 février 2025 (Télécharger) |
| Pulse Connect Secure (Obsolète) | 9.1R18.9 et antérieures | 22.7R2.6 | Contactez Ivanti pour migrer |
| Ivanti Policy Secure | 22.7R1.3 et antérieures | 22.7R1.4 | 21 avril 2025 |
| ZTA Gateways | 22.8R2 et antérieures | 22.8R2.2 | 19 avril 2025 |
Le tableau ci-dessus, met en évidence que les correctifs pour les passerelles ZTA et Ivanti Policy Secure sont toujours en cours de développement. Néanmoins, et cela devrait rassurer les utilisateurs de ces solutions, Ivanti précise qu'aucune exploitation de ces systèmes n'a été signalée à ce jour.
Des attaques attribuées aux groupes UNC5221
Les chercheurs en cybersécurité de Mandiant et de Google Threat Intelligence Group (GTIG) ont révélé que la faille CVE-2025-22457 était exploitée par un groupe lié à la Chine, spécialisé dans le cyberespionnage, et identifié sous le nom UNC5221. Les chercheurs expliquent que les pirates exploitent cette vulnérabilité depuis au moins mi-mars 2025. En soi, ce n'est pas une réelle surprise de voir ce nom ressortir puisque ce groupe est spécialisé dans l'exploitation de faille zero-day sur les appareils en bordure de réseau.
Un rapport publié par Mandiant précise : "Suite à une exploitation réussie, nous avons observé le déploiement de deux nouvelles familles de malwares : le dropper en mémoire TRAILBLAZE et le backdoor passif BRUSHFIRE. De plus, l'utilisation de l'écosystème de malwares SPAWN, précédemment attribué à UNC5221, a également été constatée."
Nous pouvons associer un autre cas récent où ces pirates ont exploité la faille de sécurité CVE-2025-0282 présente dans Ivanti Connect Secure pour déployer les malwares Dryhook et Phasejam sur des appliances VPN compromises. Il en va de même pour les vulnérabilités CVE-2023-46805 et CVE-2024-21887.
Ivanti recommande à ses clients d'installer la version patchée dès que possible afin de se protéger de cette menace. En cas de compromission, voici ce que préconise Ivanti : "Vous devez effectuer une réinitialisation d'usine sur l'appliance, puis remettre l'appliance en production en utilisant la version 22.7R2.6."
