Underc0de

Ivanti ha emitido una advertencia sobre la explotación activa de una vulnerabilidad de ejecución remota de código en su solución Connect Secure, identificada como CVE-2025-0282. Los atacantes han utilizado esta brecha en ataques de día cero para instalar malware en dispositivos afectados.

Detalles técnicos de CVE-2025-0282

La vulnerabilidad CVE-2025-0282 es un desbordamiento de búfer basado en pila, clasificado con una severidad crítica (9.0). Afecta a las siguientes versiones de los productos Ivanti:

• Ivanti Connect Secure (versiones anteriores a 22.7R2.5).
• Ivanti Policy Secure (versiones anteriores a 22.7R1.2).
• Ivanti Neurons for ZTA Gateways (versiones anteriores a 22.7R2.3).

Esta falla permite a atacantes no autenticados ejecutar código de forma remota en los dispositivos afectados. Sin embargo, Ivanti ha confirmado que, hasta ahora, solo ha sido explotada en Ivanti Connect Secure.

Parches de seguridad disponibles y cronograma

Ivanti ha lanzado un parche para Connect Secure, que soluciona la vulnerabilidad en la versión 22.7R2.5. Sin embargo, las actualizaciones para Ivanti Policy Secure e Ivanti Neurons for ZTA Gateways estarán disponibles el 21 de enero de 2025.

Detalles de los productos afectados:

• Ivanti Policy Secure: Diseñado para no estar orientado a Internet, lo que reduce significativamente el riesgo de explotación.
• Ivanti Neurons for ZTA Gateways: Solo son vulnerables si las pasarelas se generan y quedan sin conexión a un controlador ZTA.

Recomendaciones para administradores

Ivanti insta a los administradores de Connect Secure a realizar análisis con su herramienta Integrity Checker (ICT). Según los resultados, se deben tomar las siguientes medidas:

• Escaneos sin hallazgos maliciosos: Realizar un restablecimiento de fábrica y actualizar a la versión 22.7R2.5.
• Escaneos con actividad sospechosa: El restablecimiento de fábrica eliminará el malware detectado. Posteriormente, el dispositivo debe ser actualizado a la versión parcheada antes de volver a producción.

Vulnerabilidad adicional: CVE-2025-0283

Además de CVE-2025-0282, Ivanti ha corregido otra vulnerabilidad, CVE-2025-0283, que permite la escalada de privilegios por parte de atacantes autenticados. No hay evidencia de que esta brecha haya sido explotada en la actualidad o encadenada con CVE-2025-0282.

Cooperación en la investigación de ataques


Ivanti está trabajando con Mandiant y el Centro de Inteligencia de Amenazas de Microsoft para investigar estos incidentes. Se espera que pronto se publiquen detalles adicionales sobre el malware utilizado en los ataques.

Historial de vulnerabilidades en Ivanti

Este incidente sigue a un caso anterior en octubre de 2024, cuando Ivanti corrigió tres vulnerabilidades de día cero en Cloud Services Appliance (CSA) que también habían sido explotadas activamente.

Fuente: https://www.bleepingcomputer.com