A empresa de tecnologia Ivanti revelou detalhes sobre uma falha crítica de segurança em seu software Connect Secure, que está sendo explorada ativamente por cibercriminosos para disseminar malware. A vulnerabilidade, identificada como CVE-2025-22457, recebeu uma pontuação CVSS de 9,0, indicando sua gravidade. A falha afeta diretamente o Connect Secure e outros produtos relacionados, permitindo a execução remota de código sem autenticação.
Produtos afetados e correções disponíveis
A vulnerabilidade foi encontrada nas seguintes versões dos produtos Ivanti:
- Ivanti Connect Secure (versões 22.7R2.5 e anteriores) – Corrigido na versão 22.7R2.6 (patch disponibilizado em 11 de fevereiro de 2025).
- Pulse Connect Secure (versões 9.1R18.9 e anteriores) – Corrigido na versão 22.7R2.6, sendo necessário contato com a Ivanti para migração, pois o suporte foi encerrado em 31 de dezembro de 2024.
- Ivanti Policy Secure (versões 22.7R1.3 e anteriores) – Corrigido na versão 22.7R1.4 (lançamento previsto para 21 de abril de 2025).
- Gateways ZTA (versões 22.8R2 e anteriores) – Corrigido na versão 22.8R2.2 (lançamento previsto para 19 de abril de 2025).
A Ivanti destacou que alguns clientes ainda utilizam dispositivos fora do suporte, aumentando os riscos de exploração. A empresa recomenda monitoramento ativo dos dispositivos e, caso haja indícios de comprometimento, realizar uma redefinição de fábrica antes de reinstalar a versão corrigida.
Malware TRAILBLAZE e BRUSHFIRE: tática de exploração
Pesquisadores da Mandiant, empresa de segurança pertencente ao Google, identificaram que hackers começaram a explorar essa falha em março de 2025. Durante os ataques, os criminosos utilizam um dropper de script shell multiestágio para carregar o malware TRAILBLAZE, que, por sua vez, injeta o BRUSHFIRE diretamente na memória de processos da web. Isso permite que os invasores estabeleçam um backdoor persistente nos dispositivos comprometidos, facilitando roubo de credenciais, intrusão na rede e exfiltração de dados sigilosos.
O grupo por trás dessa operação também emprega o ecossistema de malware SPAWN, que inclui:
Notícias Relacionadas
Segurança digital
Coinbase corrige falha que causava alerta falso de invasão
A Coinbase anunciou a correção de um erro nos registros de atividades de suas contas que confundiu muitos usuários, levando-os a pensar que suas credenciais haviam sido comprometidas. No início de abril, o BleepingComputer revelou que o sistema da plataforma classificava incorretamente tentativas de login com senhas inválidas como falhas de autenticação de dois fatores […]
Segurança digital
Rootkits exploram falha grave no io_uring do Linux para evitar detecção
Uma falha crítica na arquitetura de segurança do Linux está permitindo que rootkits operem de maneira furtiva em sistemas, burlando soluções tradicionais de monitoramento. O problema está ligado ao io_uring, uma interface do kernel que agiliza operações de entrada e saída de forma assíncrona, sem o uso das tradicionais chamadas de sistema. Falha crítica no […]
- SPAWNSLOTH – Utilitário que desativa registros e logs de servidores.
- SPAWNSNARE – Ferramenta usada para extrair e criptografar imagens de kernel Linux.
- SPAWNWAVE – Versão aprimorada de malware anterior, com capacidades ampliadas de invasão.
Ligação com grupos hackers chineses
A atividade criminosa está sendo atribuída ao grupo UNC5221, um ator vinculado ao governo chinês, conhecido por explorar vulnerabilidades de dia zero em dispositivos Ivanti Connect Secure e outros sistemas. O UNC5221 compartilha táticas e infraestrutura com clusters como APT27, Silk Typhoon e UTA0178, mas ainda não há confirmação definitiva sobre essa conexão.
Esse grupo também esteve envolvido em ataques recentes explorando a vulnerabilidade CVE-2023-4966, que afetava dispositivos Citrix NetScaler. Durante essas campanhas, os hackers mascararam sua origem utilizando dispositivos comprometidos da Cyberoam, QNAP e ASUS para ofuscação de rastros.
Recomendações para mitigar riscos
Os especialistas recomendam que empresas e administradores de TI sigam as seguintes medidas para evitar comprometimento:
- Atualizar imediatamente para a versão corrigida do Ivanti Connect Secure (22.7R2.6) e demais produtos afetados.
- Monitorar logs e atividades suspeitas em dispositivos de borda.
- Realizar redefinição de fábrica caso haja indícios de comprometimento.
- Adotar segmentação de rede para minimizar o impacto de uma invasão bem-sucedida.
- Utilizar soluções de detecção e resposta (EDR) para identificar atividades maliciosas antes que causem danos significativos.
A rápida exploração dessa vulnerabilidade evidencia a crescente sofisticação dos ataques conduzidos por grupos de espionagem ligados à China. Empresas devem agir rapidamente para corrigir essa falha e mitigar ameaças potenciais.
