Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Ivanti Connect Secure (ICS) versions antérieures à 22.7R2.6
- Ivanti Policy Secure (IPS) versions antérieures à 22.7R1.4
- Pulse Connect Secure versions antérieures à 22.7R2.6
- Zero Trust Access Gateways versions antérieures à 22.8R2.2
L'éditeur indique que les correctifs seront disponibles le 19 avril 2025 pour Zero Trust Access Gateways et le 21 avril 2025 pour Ivanti Policy Secure. L'éditeur indique que les Pulse Connect Secure en versions 9.1x sont en fin de vie depuis le 31 décembre 2024. Les utilisateurs peuvent contacter Ivanti pour migrer vers une version à jour.
Résumé
Une vulnérabilité critique de type débordement de pile a été découverte dans Pulse Connect Secure, Ivanti Connect Secure (ICS), Policy Secure (IPS) et Zero Trust Access (ZTA) Gateways. Cette vulnérabilité, d'identifiant CVE-2025-22457, permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Ivanti indique que cette vulnérabilité est activement exploitée [1].
La mise à jour corrective pour les ICS est disponible depuis le 11 février 2025. Dans son rapport [2], Mandiant indique avoir constaté des traces d'exploitation depuis la mi-mars 2025. Il peut cependant être utile d'effectuer une recherche de compromission même si les correctifs ont été préalablement installés.
A titre de précision, la vulnérabilité CVE-2025-22457 est distincte de la vulnérabilité CVE-2025-0282, qui affecte sensiblement les mêmes produits, et qui a fait l'objet de l'alerte CERTFR-2025-ALE-001.
Documentation
- [1] Bulletin de sécurité Ivanti April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457 du 03 avril 2025 https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
- [2] Rapport Mandiant du 3 avril 2025 https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability?hl=en
- Avis CERT-FR CERTFR-2025-AVI-0121 du 12 février 2025 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0121/
- Avis CERT-FR CERTFR-2025-AVI-0273 du 3 avril 2025 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0273/
- Bulletin de sécurité Ivanti du 11 février 2025 https://forums.ivanti.com/s/article/February-Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secure-IPS-and-Ivanti-Secure-Access-Client-ISAC-Multiple-CVEs?language=en_US
- Référence CVE CVE-2025-22457 https://www.cve.org/CVERecord?id=CVE-2025-22457
