Un grupo de ciberespionaje vinculado a China está explotando activamente una vulnerabilidad crítica en dispositivos de seguridad de la empresa Ivanti, utilizados en redes de empresas y gobiernos de todo el mundo.
La falla, registrada como CVE-2025-22457, afecta a los productos Ivanti Connect Secure, Policy Secure y ZTA Gateways. Los atacantes aprovechan un stack-based buffer overflow (desbordamiento de búfer basado en pila) para evadir la autenticación y ejecutar código malicioso en los dispositivos comprometidos en forma remota.
Según advirtieron la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y la propia firma Ivanti, los ataques son llevados a cabo por el grupo UNC5221, vinculado a operaciones de espionaje cibernético del gobierno chino.
En los ataques se detectó el despliegue de malware de la familia Spawn, junto con el uso de dos nuevas herramientas maliciosas: TRAILBLAZE, un dropper que opera exclusivamente en memoria, y BRUSHFIRE, un backdoor diseñado para garantizar acceso persistente a los sistemas afectados.
¿Qué recomienda Ivanti?
Ivanti publicó parches y recomendaciones específicas para cada producto afectado:
- Ivanti Connect Secure: actualizar a la versión 22.7R2.6 (lanzada en febrero de 2025). Si el dispositivo muestra señales de compromiso, realizar un reinicio de fábrica antes de aplicar la actualización.
- Pulse Connect Secure 9.1x: este producto llegó a fin de soporte en diciembre de 2024. Ivanti recomienda migrar a una plataforma segura, ya que no habrá más actualizaciones.
- Ivanti Policy Secure: se espera un parche para el 21 de abril de 2025. El riesgo es menor ya que este producto no debería estar expuesto a internet.
- Ivanti ZTA Gateways: el parche estará disponible el 19 de abril de 2025 y se aplicará automáticamente en entornos gestionados. El riesgo es bajo en sistemas en producción.
Fuente
Ciberprisma - alianza por la ciberseguridad 