A Ivanti revelou uma falha crítica em seu software Connect Secure, explorada por hackers para instalar malwares avançados. A vulnerabilidade CVE-2025-22457 (CVSS 9.0) é um estouro de buffer baseado em pilha, permitindo a execução remota de código malicioso.

Os produtos afetados incluem:

• Ivanti Connect Secure (até 22.7R2.5) – corrigido na versão 22.7R2.6.
  
• Pulse Connect Secure (até 9.1R18.9) – corrigido na versão 22.7R2.6 (suporte encerrado).
  
• Ivanti Policy Secure (até 22.7R1.3) – correção prevista para 21 de abril.
  
• ZTA Gateways (até 22.8R2) – atualização em 19 de abril.
  

A Ivanti confirmou ataques a um pequeno número de clientes, mas sem registros de exploração no Policy Secure ou ZTA Gateways. A empresa recomenda monitorar os servidores web e redefinir dispositivos comprometidos antes da atualização. A Mandiant detectou a exploração desde março, com hackers implantando o TRAILBLAZE, um dropper que injeta o BRUSHFIRE, um backdoor invisível na memória, evitando detecção. O ataque permite roubo de credenciais, intrusão em redes e exfiltração de dados. Além disso, foi identificado o uso do malware SPAWN, que inclui ferramentas para ocultação e manipulação de logs.

A ameaça foi atribuída ao grupo chinês UNC5221, especializado em explorar falhas zero-day em dispositivos Ivanti e Citrix NetScaler. Autoridades americanas vinculam o grupo a agentes como APT27 e Silk Typhoon, mas a Mandiant não confirma a relação. O caso reforça a necessidade de atualizações rápidas e monitoramento de dispositivos de borda, cada vez mais visados por cibercriminosos.