A Ivanti publicou atualizações de segurança para corrigir a vulnerabilidade CVE-2025-22457, que permite execução remota de código sem autenticação. A falha, causada por um estouro de buffer (buffer overflow), vem sendo explorada desde março de 2025 por hackers supostamente ligados à China, em versões antigas do Connect Secure, Policy Secure e Neurons para gateways ZTA. Inicialmente considerada inofensiva, a vulnerabilidade foi posteriormente confirmada como explorável por meios sofisticados.
Leia também
Nova botnet GorillaBot desafia defesas
Simulação leva LLMs a criarem jailbreaks
Pesquisadores da Mandiant e do Google identificaram que o grupo UNC5221 utilizou essa brecha para implantar os malwares TRAILBLAZE e BRUSHFIRE, além do ecossistema SPAWN, já associado a ataques anteriores. Esse grupo já havia explorado vulnerabilidades zero-day em dispositivos Ivanti e NetScaler, comprometendo mais de 2.100 aparelhos em ataques anteriores. Além disso, em 2024, utilizaram falhas similares para atingir a MITRE Corporation e outras organizações.
A Ivanti recomenda que todos os clientes atualizem seus dispositivos para a versão 22.7R2.6 o mais rápido possível, reduzindo o risco de ataques. Para os produtos Policy Secure e gateways ZTA, os patches serão lançados em 19 e 21 de abril, respectivamente. Além disso, a empresa sugere o uso da Integrity Checker Tool para monitorar possíveis sinais de comprometimento e, caso necessário, restaurar as configurações de fábrica dos dispositivos afetados.
O ataque reforça a necessidade de vigilância contínua sobre dispositivos de segurança de rede, que são alvos frequentes de agentes de ameaças persistentes. A Ivanti, em parceria com a Mandiant, continuará monitorando e divulgando informações sobre vulnerabilidades exploradas ativamente. Empresas que utilizam soluções da Ivanti devem manter seus sistemas atualizados e seguir as diretrizes de segurança para minimizar riscos de ataques cibernéticos.
