Por Emma Zaballos – Gerente de Marketing de Produto
O que é a CVE-2025-22457?
A CVE-2025-22457 é uma vulnerabilidade crítica (CVSS 9.0) que afeta o Ivanti Connect Secure, Ivanti Policy Secure e os Gateways Ivanti ZTA. O problema decorre de um estouro de buffer baseado em pilha (stack-based buffer overflow), acionado pelo envio de um cabeçalho HTTP X-Forwarded-For especialmente criado. A exploração bem-sucedida permite a execução remota de código (RCE) sem autenticação.
Inicialmente, essa falha foi erroneamente classificada como um estouro de buffer que não levaria à execução remota de código nem à negação de serviço (DoS). No entanto, em uma nota de correção, a Ivanti confirmou que a vulnerabilidade não apenas era explorável, como já havia sido explorada ativamente.
Embora as correções estejam disponíveis desde fevereiro, algumas equipes podem ter adiado a aplicação dos patches por não saberem que se tratava de uma vulnerabilidade crítica.
Quais ativos são afetados pela CVE-2025-22457?
- Ivanti Connect Secure: versões 22.7R2.5 e anteriores
- Pulse Connect Secure (nome anterior – fim de suporte): 9.1R18.9 e anteriores
- Ivanti Policy Secure: versões 22.7R1.3 e anteriores
- Gateways ZTA: versões 22.8R2 e anteriores
Há correções disponíveis?
Sim. As atualizações estão disponíveis para:
- Ivanti Connect Secure: atualizar para a versão 22.7R2.6 (lançada em 5 de fevereiro de 2025)
- Ivanti Policy Secure: patch em desenvolvimento, com lançamento previsto para 21 de abril
- Gateways Ivanti ZTA: patch em desenvolvimento, que será aplicado automaticamente em 19 de abril
Como o Pulse Connect Secure 9.1x teve o suporte encerrado em 31 de dezembro de 2024, esses dispositivos não receberão mais atualizações. A Ivanti recomenda que os clientes que ainda utilizam esse produto entrem em contato com seu representante para migrar para uma plataforma segura.
Outras ações recomendadas
Clientes preocupados com possíveis explorações devem monitorar sua ferramenta externa de verificação de integridade (ICT) e ficar atentos a falhas no servidor web. Caso o ICT aponte comprometimento, a Ivanti recomenda realizar um reset de fábrica e restaurá-lo com a versão 22.7R2.6.
A CVE-2025-22457 está sendo ativamente explorada?
Sim. Uma investigação conjunta entre a Mandiant e a Ivanti revelou que a vulnerabilidade foi explorada em ataques reais por um grupo de espionagem conhecido como UNC5221. A CISA também incluiu essa falha no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV).
Como a CyCognito está ajudando a identificar ativos vulneráveis à CVE-2025-22457?
A CyCognito está desenvolvendo capacidades específicas de detecção para essa vulnerabilidade. Enquanto isso, os clientes podem revisar seus ativos que executam serviços do Connect Secure para avaliar a exposição, mesmo que as versões vulneráveis não estejam explicitamente identificadas.
Como a CyCognito pode ajudar sua organização?
A CyCognito é uma plataforma de gerenciamento de exposição que reduz riscos ao descobrir, testar e priorizar problemas de segurança. Ela escaneia bilhões de sites, aplicações em nuvem e APIs, usando IA avançada para identificar riscos críticos e orientar a remediação.Empresas emergentes, órgãos governamentais e organizações da Fortune 500 confiam na CyCognito para proteger suas superfícies de ataque contra ameaças em constante evolução. Quer ver como funciona? Entre em contato por contato@cybergate.solutions e entenda como a CyCognito pode ajudar sua empresa a mapear riscos e exposições externas.
