Une nouvelle faille critique dans Ivanti Connect Secure, exploitée activement par des groupes de cybersécurité liés à la Chine, met en lumière une nouvelle vague de cyberattaques sophistiquées ciblant les équipements réseau. La vulnérabilité CVE-2025-22457, avec un score CVSS de 9.0, a été utilisée pour injecter les malwares TRAILBLAZE et BRUSHFIRE dans les systèmes. Si vous êtes à la recherche d’informations sur les dernières cyberattaques Ivanti, sur la manière de détecter une compromission de passerelles ZTA, ou encore sur les tactiques d’acteurs étatiques tels qu’UNC5221, cet article couvre tout ce que vous devez savoir.
Une faille critique impacte les produits Ivanti Connect Secure et Policy Secure
Ivanti a récemment corrigé une faille de sécurité majeure dans ses produits Connect Secure, Policy Secure et ZTA Gateways. Référencée sous le nom CVE-2025-22457, cette vulnérabilité de type dépassement de tampon (stack-based buffer overflow) permet une exécution de code à distance sans authentification préalable.
Produits concernés par la vulnérabilité
- Ivanti Connect Secure versions 22.7R2.5 et précédentes (corrigé dans la version 22.7R2.6)
- Pulse Connect Secure 9.1R18.9 et précédentes (fin de support, demande de migration requise)
- Ivanti Policy Secure 22.7R1.3 et précédentes (correctif prévu le 21 avril)
- ZTA Gateways 22.8R2 et précédentes (correctif prévu le 19 avril)
Bien que seuls quelques clients utilisant Connect Secure aient été affectés, une surveillance active des systèmes externes est recommandée par Ivanti en cas d’indicateurs de compromission.
Que faire en cas de compromission ?
Ivanti invite les administrateurs à réinitialiser les appareils touchés puis à appliquer la dernière mise à jour. La version 22.7R2.6 corrige également trois autres failles critiques (CVE-2024-38657, CVE-2025-22467, CVE-2024-10644) permettant l’écriture de fichiers arbitraires et l’exécution de code via des comptes authentifiés.
Une exploitation active de la vulnérabilité avec un arsenal malveillant sophistiqué
La société Mandiant, propriété de Google, a identifié des signes d’exploitation de la vulnérabilité dès la mi-mars 2025. Les attaquants ont déployé un agent en mémoire baptisé TRAILBLAZE, un cheval de Troie passif nommé BRUSHFIRE, ainsi que la suite malicieuse SPAWN.
Un mode opératoire avancé et persistant
Le vecteur d’attaque repose sur un script shell à plusieurs étapes, permettant l’injection du malware directement dans la mémoire d’un processus web actif, évitant ainsi les systèmes de détection classiques. Cette méthode donne aux attaquants une persistance sur les équipements réseau touchés, facilitant l’exfiltration de données sensibles et le vol d’identifiants administratifs.
Composition de l’écosystème SPAWN
- SPAWNSLOTH : altération des logs et interruption de l’envoi vers un serveur syslog externe
- SPAWNSNARE : extraction et chiffrement du noyau Linux (vmlinux)
- SPAWNWAVE : version évoluée combinant des éléments d’autres malwares (SPAWNANT, SPAWNCHIMERA, RESURGE)
UNC5221 : un groupe lié à la Chine derrière les attaques
Les attaques sont attribuées au groupe UNC5221, un acteur de la menace soutenu par l’État chinois, aussi suivi sous les noms APT27 ou Silk Typhoon selon les sources. Ce groupe est réputé pour son usage prolifique de failles zero-day et le développement de malwares personnalisés.
Un réseau d’infrastructure obscure
Pour masquer leur position, UNC5221 s’appuie sur un réseau d’appliances compromises incluant des équipements Cyberoam, des serveurs QNAP, et des routeurs ASUS. Ce mode opératoire brouille les pistes et complique les opérations de remédiation.
Une capacité d’adaptation inquiétante
Les experts estiment que les attaquants ont analysé les correctifs d’Ivanti de février pour concevoir une variante d’exploitation contre les versions non mises à jour. Il s’agit de la première attaque attribuée à UNC5221 exploitant une faille de type N-day, et non zero-day.
Prévenir les intrusions en maîtrisant les techniques de hacking
Comprendre les techniques utilisées dans ces attaques permet de mieux les anticiper. Pour ceux souhaitant apprendre à hacker et approfondir leurs connaissances en cybersécurité offensive, le livre pour hacker publié par CyberCare offre une base complète et accessible. Il décrypte plusieurs vecteurs d’intrusion, dont les dépassements de tampon comme dans cette faille Ivanti.
Chez CyberCare, nous accompagnons les entreprises dans la sécurisation de leurs systèmes exposés aux menaces avancées comme celle révélée ici, à travers des audits, simulations de compromission et surveillance continue de leurs équipements réseau.
