> [!danger] CVSS 9.0 - Crítico > Stack-based buffer overflow permite execução remota de código não autenticada. Explorado como zero-day pelo grupo chinês UNC5221 desde março de 2025. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2025-04-04. Exploração ativa por UNC5221 (China-nexus) com implante de backdoor passivo e dropper. > [!success] Patch Disponível > Ivanti Connect Secure 22.7R2.6 (lançado 11/02/2025). Pulse Connect Secure 9.1x EOL - migrar imediatamente. # CVE-2025-22457 - Ivanti Connect Secure Stack Buffer Overflow RCE > CVSS: 9.0 · EPSS: 95% · Vendor: Ivanti · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2025-22457** é uma vulnerabilidade crítica de **stack-based buffer overflow** no Ivanti Connect Secure, Policy Secure e ZTA Gateways, permitindo execução remota de código por atacantes não autenticados. A falha foi inicialmente classificada pela Ivanti como um bug de DoS de baixo risco, mas a [[_intel/sources|Mandiant]] e o Google Threat Intelligence Group (GTIG) descobriram que era explorada ativamente pelo grupo chinês **[[unc5221]]** desde meados de março de 2025. O [[unc5221]] estudou o patch da versão 22.7R2.6 (lançado em fevereiro de 2025) e identificou, através de processo de engenharia reversa sofisticado, que a vulnerabilidade permitia RCE - não apenas DoS como a Ivanti acreditava. Os IoCs públicados pela Mandiant incluem um in-memory dropper (`/tmp/.i`), backdoor passivo (`/tmp/.r`) e binário modificado (`/bin/dsmain`). **Pontuação de risco:** - CVSS v3.1: **9.0** (Crítico) - EPSS: **95%** de probabilidade de exploração - CISA KEV: adicionado em 2025-04-04 - Zero-day ativo desde meados de março de 2025 ## Detalhes Técnicos O buffer overflow com espaço limitado de caracteres foi inicialmente subestimado: 1. **Stack overflow limitado:** O overflow possui um espaço restrito de caracteres, dificultando a exploração direta para RCE 2. **Análise de patch reverso:** [[unc5221]] identificou que a limitação era contornável através de técnicas sofisticadas de exploitation 3. **Execução sem autenticação:** O overflow é acionável remotamente sem credenciais válidas 4. **Pós-exploração:** Implantação de backdoor passivo e dropper in-memory para persistência sem artefatos em disco 5. **Afeta edge devices:** Dispositivos sem suporte a EDR - dificulta detecção e resposta **IoCs públicados pela Mandiant:** - `/tmp/.i` - in-memory dropper (hash: 4628a501088c31f53b5c9ddf6788e835) - `/tmp/.r` - backdoor passivo (hash: e5192258c27e712c7acf80303e68980b) - `/bin/dsmain` - binário modificado (hash: 6e01ef1367ea81994578526b3bd331d6) ## Exploração **Status atual:** Exploração ativa confirmada - zero-day explorado por UNC5221 desde março de 2025. **Grupos de ameaça utilizando:** - [[unc5221]] - grupo China-nexus atribuído pela Mandiant/GTIG; historicamente associado à exploração de múltiplas vulnerabilidades Ivanti (CVE-2023-46805, CVE-2024-21887, CVE-2025-0282) **Campanhas associadas:** - [[ivanti-connect-secure-exploitation-2024]] - campanha continuada de exploração de appliances Ivanti **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de gateway VPN exposto - [[t1505-003-web-shell|T1505.003 - Web Shell]] - backdoor passivo implantado pós-exploração - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - dropper in-memory para evasão ## Mitigação **Patch oficial:** - Ivanti Connect Secure: atualizar para **22.7R2.6** imediatamente - Pulse Connect Secure 9.1x: EOL desde 31/12/2024 - contatar Ivanti para migração - Ivanti Policy Secure: patch disponibilizado em 21/04/2025 - ZTA Gateways: patch automático aplicado em 19/04/2025 **Se comprometimento suspeito:** 1. Executar Ivanti ICT (Integrity Checker Tool) externo - monitorar crashes do servidor web 2. Se ICT indicar comprometimento: **factory reset** e reinstalação com versão 22.7R2.6 3. Rotacionar todas as credenciais VPN e certificados 4. Investigar movimento lateral a partir de IPs do appliance comprometido ## Contexto LATAM > [!latam] Impacto para Brasil e América Latina > O **Ivanti Connect Secure** é um dos gateways VPN corporativos mais utilizados em grandes empresas e organizações governamentais do Brasil e da América Latina. Ataques do grupo **UNC5221** a appliances Ivanti têm como alvo prioritário telecomúnicações, financeiras e entidades governamentais — setores com forte presença na região. O histórico de campanhas **UNC5221** inclui comprometimento de servidores na América do Norte e Europa com posterior pivô para subsidiárias e parceiros na América Latina. Organizações brasileiras com VPN Ivanti devem executar o **ICT (Integrity Checker Tool)** da Ivanti imediatamente e atualizar para a versão 22.7R2.6, priorizando instâncias expostas à internet. ## Notas Relacionadas **CVEs relacionados:** [[cve-2025-0282|CVE-2025-0282]] · [[cve-2024-22024|CVE-2024-22024]] · [[cve-2023-46805|CVE-2023-46805]] **Atores explorando:** [[unc5221]] **Campanhas:** [[ivanti-connect-secure-exploitation-2024]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] **Setores em risco:** [[government]] · [[financial]] · [[technology]] ## Referências - [NVD - CVE-2025-22457](https://nvd.nist.gov/vuln/detail/CVE-2025-22457) - [Ivanti Security Advisory](https://forums.ivanti.com/s/article/CVE-2025-22457) - [Rapid7 - ETR CVE-2025-22457](https://www.rapid7.com/blog/post/2025/04/03/etr-ivanti-connect-secure-CVE-2025-22457-exploited-in-the-wild/) - [Truesec - Buffer Overflow Analysis](https://www.truesec.com/hub/blog/CVE-2025-22457-ivanti-buffer-overflow-vulnerability) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)