# Ivanti Connect Secure CVE-2025-22457 - UNC5221 > [!high] Zero-Day em Ivanti VPN - Espionagem de Estado > Campanha ativa do grupo UNC5221 (nexo China) explorando CVE-2025-22457 - buffer overflow crítico no Ivanti Connect Secure VPN. Mandiant e CISA emitiram alertas em abril de 2025 sobre exploração ativa antes da divulgação do patch. O mesmo grupo responsável por múltiplas campanhas contra Ivanti em 2024. ## Visão Geral A campanha **Ivanti CVE-2025-22457** representa mais um capítulo na série de ataques do [[unc5221|UNC5221]] contra produtos Ivanti, documentada pela primeira vez em dezembro de 2023 e continuando ao longo de 2024-2025. O grupo demonstrou capacidade consistente de identificar e explorar vulnerabilidades zero-day em produtos VPN e de acesso seguro - uma especialização técnica rara que indica um ator bem financiado com acesso a pesquisa de vulnerabilidades de ponta. A [[cve-2025-22457|CVE-2025-22457]] é uma vulnerabilidade de buffer overflow na funcionalidade de processamento de solicitações HTTPS do Ivanti Connect Secure, afetando também o Ivanti Policy Secure e ZTA Gateways. A Ivanti inicialmente classificou a vulnerabilidade como de baixo risco em um patch de fevereiro de 2025, mas a Mandiant identificou que o grupo UNC5221 havia desenvolvido um exploit funcional que contornava as mitigações iniciais - forçando uma reclassificação e advisory urgente em abril de 2025. O [[unc5221|UNC5221]] implantou dois novos implantes identificados nestas intrusões: [[trailblaze|TRAILBLAZE]] (dropper in-memory que injeta código sem tocar disco) e [[brushfire|BRUSHFIRE]] (backdoor passivo que persiste no appliance Ivanti). O grupo manteve acesso persistente a múltiplas organizações de alto valor, com foco em coleta de credenciais de VPN e acesso a redes internas corporativas e governamentais. Esta campanha é parte de um padrão mais amplo de atores chineses focando em dispositivos de borda de rede (firewalls, VPNs, gateways) - dispositivos que têm acesso privilegiado às redes corporativas e frequentemente operam com menor monitoramento que endpoints tradicionais. **Plataformas:** Ivanti Connect Secure (Linux) ## Cadeia de Infecção ```mermaid graph TB A["🔍 Reconhecimento<br/>Scan de Ivanti expostos<br/>identificação de versões"] --> B["💥 Exploit CVE-2025-22457<br/>buffer overflow em HTTPS<br/>execução remota sem auth"] B --> C["💾 TRAILBLAZE dropper<br/>injection in-memory<br/>sem artefato em disco"] C --> D["🔒 BRUSHFIRE backdoor<br/>persistência passiva<br/>aguarda reconexão"] D --> E["🔑 Dump de credenciais VPN<br/>sessões ativas e cached<br/>credenciais de usuários"] E --> F["🌐 Pivoting para rede interna<br/>uso de credenciais legítimas<br/>sem alarmes adicionais"] ``` **Padrão de ataques Ivanti pelo UNC5221:** ```mermaid timeline Dez 2023 : CVE-2023-46805 + CVE-2024-21887 : Zero-days Ivanti ICS : Início campanhas UNC5221 Jan 2024 : CISA + NCSC alertas : exploração massiva : 1700+ appliances afetados Fev 2025 : CVE-2025-22457 patcheado : classificado como baixo risco : exploit ignorado inicialmente Abr 2025 : Mandiant descobre exploração : reclassificação para crítico : TRAILBLAZE e BRUSHFIRE ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | CVE-2025-22457 em Ivanti Connect Secure | | [[t1059-004-unix-shell\|T1059.004]] | Unix Shell | Comandos shell no appliance Ivanti comprometido | | [[t1505-003-web-shell\|T1505.003]] | Web Shell | BRUSHFIRE como implante passivo persistente | | [[t1027-002-software-packing\|T1027.002]] | Software Packing | TRAILBLAZE empacotado para evasão in-memory | | [[t1552-001-credentials-in-files\|T1552.001]] | Credentials in Files | Extração de credenciais do appliance Ivanti | ## Vulnerabilidade CVE-2025-22457 **CVE-2025-22457** - Ivanti Connect Secure / Policy Secure / ZTA Gateways: - CVSS: 9.0 (Crítico - pós-reclassificação) - CWE: CWE-121 - Stack-based Buffer Overflow - Afeta: Ivanti Connect Secure (versões < 22.7R2.6), Policy Secure, ZTA Gateways - Patch inicial: Fevereiro 2025 (classificado como baixo risco) - Reclassificação: Abril 2025 após Mandiant documentar exploração ativa A falha no parsing de parâmetros de solicitação HTTPS permite que um atacante remoto não autenticado escreva além dos limites de um buffer de pilha, resultando em execução arbitrária de código no contexto do serviço VPN. ## Perfil UNC5221 [[unc5221|UNC5221]] é um cluster de espionagem com nexo China: - Histórico de foco exclusivo em dispositivos de borda (Ivanti, Pulse Secure, SonicWall) - Capacidade de desenvolver e operacionalizar zero-days rapidamente - Foco em setores governamental, defesa, telecomúnicações e financeiro - Infraestrutura de C2 usando VPS comprometidos como proxies ## Indicadores de Comprometimento > [!ioc]- IOCs - Ivanti CVE-2025-22457 (TLP:GREEN) > **Arquivos suspeitos no appliance:** > - Arquivos não reconhecidos em `/home/webserver/htdocs/dana-na/` > - Modificações de arquivos legítimos do Ivanti em horários incomuns > > **Comportamento de rede:** > - Conexões de saída do appliance Ivanti para IPs externos não documentados > - Processo httpd com conexões de rede incomuns (indica BRUSHFIRE ativo) > > **Verificação de integridade:** > - Usar Ivanti Integrity Checker Tool (ICT) para verificar modificações nos arquivos do sistema > > **Fontes:** [Mandiant Advisory](https://www.mandiant.com/resources/blog/ivanti-connect-secure-vpn-exploitation) · [CISA Advisory AA25-071A](https://www.cisa.gov/news-events/cybersecurity-advisories) ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > Appliances Ivanti Connect Secure são utilizados em bancos, financeiras e órgãos governamentais brasileiros para acesso VPN remoto. O padrão silencioso do UNC5221 - mantendo acesso por semanas sem detecção - significa que organizações brasileiras potencialmente afetadas podem não saber que foram comprometidas. Verificação com o Ivanti ICT é ação imediata recomendada. Appliances Ivanti Connect Secure têm uso significativo em organizações brasileiras de médio e grande porte que precisam de acesso VPN SSL para funcionários remotos: 1. **Bancos e financeiras**: O setor financeiro brasileiro é heavy user de soluções VPN SSL enterprise, incluindo Ivanti 2. **Governo e agências**: Órgãos governamentais com funcionários remotos usam VPN SSL - Ivanti é um dos produtos aprovados em contratações públicas 3. **Dwell time extenso**: O padrão do UNC5221 de manter acesso silencioso por semanas/meses antes da detecção significa que organizações brasileiras afetadas podem não saber que foram comprometidas Equipes de segurança devem usar o Ivanti Integrity Checker Tool (ICT) para verificar se appliances Ivanti foram modificados, e corrigir para versões >= 22.7R2.6 imediatamente. ## Detecção **Indicadores de comprometimento:** - Executar Ivanti ICT (Integrity Checker Tool) e verificar saída para arquivos modificados - Processo `httpd` no appliance Ivanti fazendo conexões de rede para IPs externos - Logs de acesso com requisições HTTP incomuns para endpoints não documentados na API do Ivanti **Fontes de dados:** - **Ivanti System Logs:** Eventos de autenticação anômalos e erros de processo - **Network Flow Analysis:** Conexões de saída do appliance para IPs externos não documentados - **SIEM:** Correlacionar eventos de autenticação VPN com atividade de rede suspeita ## Referências - [1](https://www.mandiant.com/resources/blog/ivanti-connect-secure-vpn-exploitation) Mandiant - Ivanti CVE-2025-22457 Exploitation Analysis (2025) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-090a) CISA Advisory AA25-090A - Ivanti Connect Secure Exploitation - [3](https://forums.ivanti.com/s/article/CVE-2025-22457) Ivanti - CVE-2025-22457 Official Advisory - [4](https://attack.mitre.org/groups/G1005/) MITRE ATT&CK - UNC5221 Activity Group