L’article technique de Rapid7, sur la plateforme AttackerKB, propose une analyse approfondie de la vulnérabilité critique CVE-2025-22457, affectant plusieurs produits Ivanti, notamment Connect Secure, Pulse Connect Secure, Policy Secure et ZTA Gateways. Cette faille de sécurité, exploitée activement dans la nature, permet à un attaquant distant non authentifié d’exécuter du code arbitraire sur les appareils vulnérables.

🔍 Qu’est-ce que CVE-2025-22457 ? CVE-2025-22457 est une vulnérabilité de type dépassement de tampon basé sur la pile (stack-based buffer overflow) identifiée dans les produits Ivanti. Elle permet à un attaquant distant et non authentifié d’exécuter du code arbitraire sur l’appareil ciblé, compromettant ainsi la sécurité du réseau de l’organisation. Cette vulnérabilité est activement exploitée par des acteurs malveillants, notamment le groupe UNC5221, soupçonné d’être lié à la Chine . socradar.io

🧪 Analyse technique par Rapid7 Rapid7 a mené une analyse approfondie de cette vulnérabilité et a développé un exploit de preuve de concept (PoC) démontrant la possibilité d’exécution de code à distance (RCE). Bien que l’exploitation ne soit pas triviale, elle est réalisable par des acteurs malveillants déterminés. Le code PoC est disponible sur GitHub . GitHub

🛡️ Recommandations de sécurité Mise à jour immédiate : Appliquez les correctifs fournis par Ivanti pour les versions affectées. Le correctif pour Ivanti Connect Secure a été publié le 11 février 2025, tandis que ceux pour Policy Secure et ZTA Gateways sont prévus respectivement pour le 21 et le 19 avril 2025 . rapid7.com

Surveillance renforcée : Utilisez des outils de détection pour identifier toute activité suspecte ou présence de malwares tels que TRAILBLAZE et BRUSHFIRE.

Isolation des appareils vulnérables : Segmentez le réseau pour limiter l’accès des appareils potentiellement compromis aux ressources critiques.

Utilisation de l’outil ICT : Employez l’outil Integrity Checker Tool d’Ivanti pour vérifier l’intégrité des appareils et détecter toute compromission.

🔗 Source originale : https://attackerkb.com/topics/0ybGQIkHzR/cve-2025-22457/rapid7-analysis