# Ivanti Connect Secure Zero-Days - 2025 > [!abstract] Resumo > Em janeiro de 2025, a Ivanti divulgou o [[cve-2025-0282|CVE-2025-0282]] - um stack overflow crítico (CVSS 9.0) no Connect Secure explorado ativamente desde dezembro de 2024 por ator suspeito nexo-China (UNC5337), levando a CISA a emitir a Diretiva de Emergência ED 25-01. **Data:** 8 de janeiro de 2025 | **Categoria:** Zero-Day Exploitation --- ## O que aconteceu Em 8 de janeiro de 2025, a Ivanti divulgou o [[cve-2025-0282|CVE-2025-0282]] - uma vulnerabilidade crítica de stack-based buffer overflow (CVSS 9.0) nos produtos Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons for ZTA Gateways. A falha permite execução remota de código sem autenticação prévia, afetando versões anteriores à 22.7R2.5 do Connect Secure e 22.7R1.2 do Policy Secure. A Mandiant identificou exploração ativa da vulnerabilidade já em dezembro de 2024 - semanas antes da divulgação pública - atribuída ao grupo rastreado como UNC5337, ator com suspeito nexo à República Popular da China. Os atacantes implantaram famílias de malware previamente associadas a campanhas de espionagem contra appliances Ivanti, incluindo as famílias DRYHOOK e PHASEJAM, utilizadas para manutenção de acesso persistente e movimentação lateral em redes de vítimas. Em resposta à gravidade da exploração ativa, a CISA emitiu a Diretiva de Emergência ED 25-01 em 13 de janeiro de 2025, exigindo que todas as agências do Poder Executivo Federal dos EUA (FCEB) identificassem instâncias afetadas, aplicassem os patches disponibilizados pela Ivanti e - caso a atualização não fosse imediatamente possível - desconectassem os dispositivos da rede. O prazo dado pela diretiva foi de 48 horas para ação inicial, refletindo a urgência operacional. O incidente é parte de um padrão sistemático e recorrente de exploração de appliances VPN e de borda de rede como vetor de acesso inicial - um vetor favorecido por grupos de espionagem nexo-China desde pelo menos 2021. A Ivanti já havia sido alvo de explorações críticas em 2024 (CVE-2024-21887 e CVE-2023-46805), tornando seus produtos alvo de escrutínio especial pela comunidade de segurança. --- ## Atores e Ferramentas - **CVE explorado:** [[cve-2025-0282|CVE-2025-0282]] (Stack Buffer Overflow, CVSS 9.0) - **CVE relacionado:** CVE-2025-0283 (privilege escalation, divulgado concomitantemente) - **Produto afetado:** [[connect-secure]] (versões < 22.7R2.5), Ivanti Policy Secure (< 22.7R1.2) - **Ator atribuído:** UNC5337 (suspeito nexo-China) - **Malware implantado:** DRYHOOK, PHASEJAM - **Diretiva regulatória:** CISA ED 25-01 - **Técnicas MITRE:** [[t1190-exploit-public-facing-application]], [[t1059-command-scripting-interpreter|T1059]], [[t1133-external-remote-services]], [[t1505-003-web-shell]] --- ## Impacto O impacto afetou principalmente organizações governamentais, infraestrutura crítica e grandes corporações que utilizam o Ivanti Connect Secure como solução de acesso remoto VPN - um produto com presença significativa em ambientes enterprise e governamentais ao redor do mundo. A CISA ED 25-01 obrigou agências federais americanas a realizarem auditoria urgente de todos os dispositivos Ivanti em seu inventário. A Ivanti disponibilizou uma ferramenta de verificação de integridade (Integrity Checker Tool - ICT) para auxílio na detecção de comprometimentos já ocorridos, embora pesquisadores tenham apontado limitações na capacidade da ferramenta de detectar comprometimentos sofisticados que modificam arquivos do sistema. O padrão de exploração recorrente de produtos Ivanti gerou debaté sobre a adequação das práticas de desenvolvimento seguro da empresa e sobre a dependência do setor governamental em appliances de acesso remoto com histórico de vulnerabilidades críticas. Agências de segurança de múltiplos países - incluindo Reino Unido, Austrália e Canadá - emitiram avisos conjuntos recomendando isolamento e atualização emergencial. --- ## Notas Relacionadas - [[cve-2025-0282|CVE-2025-0282]] - perfil completo da vulnerabilidade - [[connect-secure]] - nota do produto afetado - [[t1190-exploit-public-facing-application]] - técnica MITRE ATT&CK de acesso inicial - [[t1133-external-remote-services]] - técnica de exploração de serviços remotos externos - [[t1505-003-web-shell]] - técnica de persistência via web shell