Vulnerabilidad explotada en productos de Ivanti
INTRODUCCIÓN
Ivanti ha publicado actualizaciones de seguridad para abordar dos vulnerabilidades críticas, identificadas como CVE-2025-0282 y CVE-2025-0283, que afectan a sus productos Connect Secure, Policy Secure y ZTA Gateways. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha añadido la vulnerabilidad CVE-2025-0282 a su Catálogo de Vulnerabilidades Explotadas Conocidas, basandose en la evidencia de explotación activa proporcionada por Ivanti.
ANÁLISIS:
CVE-2025-0282 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H - 9:
Un desbordamiento de la pila del búfer en Ivanti Connect Secure antes de la versión 22.7R2.5, Ivanti Policy Secure antes de la versión 22.7R1.2 e Ivanti Neurons para pasarelas ZTA antes de la versión 22.7R2.3 permite a un atacante remoto no autenticado lograr la ejecución remota de código.
VERSIONES AFECTADAS
Ivanti Connect Secure 22.7R2 a 22.7R2.4
Ivanti Policy Secure 22.7R1 a 22.7R1.2
Ivanti Neurons for ZTA gateways 22.7R2 a 22.7R2.3
RECOMENDACIONES:
Actualice a la siguiente versión:
Ivanti Connect Secure 22.7R2.5, que ya está disponible.
Ivanti Policy Secure tendrá un parche publicado el 21 de enero.
Ivanti Neurons para pasarelas ZTA tendrá un parche para 22.7R2.5 publicado el 21 de enero.
Adicionalmente, CISA ha incluido los pasos a seguir para la caza de actividades maliciosas:
1. Realizar acciones de caza de amenazas:
a. Ejecutar la herramienta In-Build Integrity Checker Tool (ICT).
b. Lleve a cabo acciones de búsqueda de amenazas en todos los sistemas conectados al dispositivo Ivanti afectado o que se hayan conectado recientemente a él.
2. Si las acciones de caza de amenazas determinan que no hay compromiso:
a. Reinicie el dispositivo y aplique el parche descrito en el aviso de seguridad Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283).
b. Supervise los servicios de autenticación o gestión de identidades que podrían estar expuestos.
c. Continúe auditando las cuentas de acceso de nivel de privilegio.
3. Si las acciones de caza de amenazas determinan un compromiso:
a. Informe a Ivanti inmediatamente para iniciar la investigación forense y las actividades de respuesta a incidentes.
b. Desconecte las instancias de los productos Ivanti Connect Secure afectados.
c. Aísle los sistemas de cualquier recurso de la empresa en la medida de lo posible.
d. Revoque y vuelva a emitir todos los certificados, claves y contraseñas conectados o expuestos, para incluir lo siguiente:
i. Restablezca la contraseña de administrador.
ii. Restablezca las claves almacenadas de la interfaz de programación de aplicaciones (API).
iii. Restablezca la contraseña de cualquier usuario local definido en la pasarela, incluidas las cuentas de servicio utilizadas para la configuración del servidor o servidores de autenticación.
e. Si las cuentas de dominio asociadas a los productos afectados se han visto comprometidas:
i. Restablezca las contraseñas dos veces para las cuentas locales, revoque los vales Kerberos y, a continuación, revoque los tokens para las cuentas en la nube en las implantaciones híbridas.
ii. Para los dispositivos registrados/unidos a la nube, desactive los dispositivos en la nube para revocar los tokens del dispositivo.
f. Tras la investigación, aplique todos los parches y restablezca el servicio del sistema.
REFERENCIAS:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283
https://www.cisa.gov/news-events/alerts/2025/01/08/ivanti-releases-security-updates-connect-secure-policy-secure-and-zta-gateways
https://forums.ivanti.com/s/article/KB44859?language=en_US (In-Build Integrity Checker Tool (ICT))
https://nvd.nist.gov/vuln/detail/CVE-2025-0282