nnattalli - stock.adobe.com

Ivanti : une vulnérabilité critique activement exploitée

L’équipementier vient de lever le voile sur une vulnérabilité critique affectant des produits typiquement exposés directement sur Internet. Elle fait déjà l’objet d’une exploitation active et a déjà été corrigée pour Connect Secure.

Ivanti vient de rendre publique une vulnérabilité critique affectant plusieurs de ses produits et déjà activement exploitée.

Référencée CVE-2025-22457, elle affecte Connect Secure (ICS) en versions antérieures à 22.7R2.6 (disponible depuis février), Ivanti Policy Secure (IPS) en versions antérieures à 22.7R1.4, Pulse Connect Secure en versions 9.1R18.9 et antérieures, et Zero Trust Access Gateways en versions antérieures à 22.8R2.2.

Pour Pulse Connect Secure, en fin de vie, Ivanti demande à être contacté pour migrer vers une version supportée. Pour Policy Secure, une mise à jour sera disponible le 21 avril. Le correctif pour ZTA Gateways arrivera deux jours plus tôt. 

Pour Ivanti Connect Secure, l’équipementier conseille d’appliquer la mise à jour disponible, et de réinitialiser l’appliance en configuration de sortie d’usine avant de la remettre en production.

Dans son alerte, Ivanti indique avoir « connaissance d’un nombre limité de clients dont les appareils Ivanti Connect Secure (22.7R2.5 et antérieurs) et Pulse Connect Secure 9.1x en fin de support ont été exploités au moment de la divulgation ».

L’exploitation réussie de la vulnérabilité CVE-2025-22457 permet de forcer l’exécution à distance de code arbitraire. Selon Mandiant, à ce stade, les observations font remonter les premières exploitations à la mi-mars.

Au menu, deux maliciels – dont une porte dérobée passive qui renvoient à l’outillage d’UNC5221, un groupe attribué à la Chine.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)