Critical Vulnerability in Ivanti Connect
Dutch follows English
Dear Reader,
A critical vulnerability in Ivanti Connect Secure VPN appliances allows attackers to take complete control of the appliance. Chinese state actors are actively exploiting this vulnerability. Immediate patching is required.
Description
A buffer overflow vulnerability (tracked under CVE-2025-22457, CVSS: 9.0) affects the following products:
- Ivanti Connect Secure VPN appliances version 22.7R2.5 and earlier
- Pulse Connect Secure version 9.x (end-of-life software; will not receive patches).
- Ivanti Policy Secure version 22.7R1.3 and earlier
- ZTA gateways versions 22.8R2 and earlier (only when left unconfigured)
Mandiant observed first exploitation in March 2025 by suspected Chinese state-sponsored hackers (UNC5221) [1]. The exploit is used to deploy malware and gain unauthorized access to systems.
Impact
We estimate the impact of these vulnerabilities as HIGH because successful exploitation leads to unauthenticated remote code execution.
Risk
We estimate the risk of these vulnerabilities as MEDIUM, given the complexity of the exploit. Nevertheless, it seems likely that proof-of-concept exploit code will be released.
Mitigation
Install the patch Ivanti released on February 11, 2025. Ivanti Connect Secure version 22.7R2.6 is not vulnerable. If patching is not feasible, consider disconnecting the appliance from the Internet. Pulse Connect Secure will not be receiving patches since the software is end-of-life.
Patches for Ivanti Policy Secure and ZTA gateways will be released on April 21 and April 19 respectively. Typically, the Ivanti Policy Secure if not exposed directly to the internet, and the ZTA gateway cannot be exploited when in production, only when it is left unconfigured.
What should you do?
Install the update immediately. Additionally, look for the indicators of compromise (as detailed in [1]) to see if you were compromised. If you were compromised, contact us.
What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Sources
Beste lezer,
Een kritieke kwetsbaarheid in Ivanti Connect Secure VPN-appliances maakt het mogelijk voor aanvallers om volledige controle over het systeem te verkrijgen. Deze kwetsbaarheid wordt momenteel actief misbruikt door Chinese staatsactoren. Installeer de patch zo snel mogelijk.
Beschrijving
Een buffer overflow-kwetsbaarheid (geregistreerd als CVE-2025-22457, CVSS: 9.0) treft de volgende producten:
- Ivanti Connect Secure VPN-appliances versie 22.7R2.5 en ouder
- Pulse Connect Secure versie 9.x (end-of-life software; krijgt geen patches)
- Ivanti Policy Secure versie 22.7R1.3 en ouder
- ZTA-gateways versies 22.8R2 en ouder (alleen kwetsbaar als ze niet zijn geconfigureerd)
Mandiant heeft in maart 2025 voor het eerst misbruik waargenomen door vermoedelijk door de Chinese overheid gesponsorde hackers (UNC5221) [1]. De exploit wordt gebruikt om malware te installeren en ongeautoriseerde toegang te verkrijgen.
Impact
Wij schatten de impact van exploitatie van deze kwetsbaarheden in als HOOG, omdat succesvolle exploitatie leidt tot ongeauthenticeerde ‘remote code execution’.
Risico
Wij schatten het risico als GEMIDDELD vanwege de complexiteit van de exploit. Toch is de kans groot dat er een proof-of-concept-exploitcode beschikbaar komt.
Mitigatie
Installeer de patch die Ivanti op 11 februari 2025 heeft uitgebracht. Ivanti Connect Secure versie 22.7R2.6 is niet kwetsbaar. Als patchen niet mogelijk is, overweeg dan de appliance los te koppelen van het internet. Pulse Connect Secure ontvangt geen patches meer omdat de software end-of-life is.
Patches voor Ivanti Policy Secure en ZTA-gateways verschijnen respectievelijk op 21 april en 19 april. Over het algemeen is Ivanti Policy Secure niet rechtstreeks verbnonden met het internet en kan de ZTA-gateway alleen worden misbruikt als deze ongeconfigureerd en niet in productie is.
Wat moet u doen?
Installeer de update direct. Controleer daarnaast of u eventuele ‘indicators of compromise’ (zoals beschreven in [1]) aantreft. Als u gecompromitteerd bent, neem dan contact met ons op.
Wat doet Northwave?
Northwave informeert Vulnerability Management klanten wanneer in hun infrastructuur kwetsbare systemen worden ontdekt.
Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheid in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer is van toepassing, zie onder.
Bronnen