Ivanti tiene emitido una advertencia sobre una vulnerabilidad de día cero, rastreada como CVE-2025-0282en sus dispositivos VPN ampliamente utilizados que ha sido explotado para comprometer las redes de los clientes. La vulnerabilidad se puede explotar sin autenticación, lo que permite a los atacantes colocar de forma remota código malicioso en los productos Connect Secure, Policy Secure y ZTA Gateways de Ivanti.
Ivanti advierte sobre la vulnerabilidad de día cero en los dispositivos VPN
Revelado el miércoles, la falla crítica afecta a Ivanti Connect Secure, que se considera «la VPN SSL más adoptada por organizaciones de todos los tamaños, en todas las industrias importantes». La empresa se dio cuenta de la vulnerabilidad cuando su Integrity Checker Tool (ICT) detectó actividad maliciosa en los dispositivos de los clientes. Ivanti reconoce que tenía conocimiento de un «número limitado de clientes» cuyos electrodomésticos se vieron comprometidos.
Si bien hay un parche disponible para Connect Secure, no se esperan parches para Policy Secure y ZTA Gateways, que no han sido confirmados como explotables, hasta el 21 de enero. Ivanti también identificó una segunda vulnerabilidad, CVE-2025-0283que aún no ha sido explotado.
No lo ignores: la actualización de ciberseguridad de Adobe podría salvar tus datos
Mandiant, una empresa de respuesta a incidentes, reportado que observó la explotación de CVE-2025-0282 ya a mediados de diciembre de 2024. Aunque Mandiant no ha vinculado definitivamente las vulnerabilidades a un actor de amenaza específico, sospecha la participación de un grupo de ciberespionaje vinculado a China conocido como UNC5337 y UNC5221. Este grupo ha explotado previamente las vulnerabilidades de Ivanti para ejecutar ataques masivos contra clientes.
De acuerdo a TechCrunchBen Harris, director ejecutivo de watchTowr Labs, notó el impacto generalizado de la última falla de Ivanti VPN, lo que indica que los ataques demuestran características típicas de una amenaza persistente avanzada. El Centro Nacional de Seguridad Cibernética del Reino Unido también está investigando casos de explotación activa que afectan a las redes en el Reino Unido. Mientras tanto, la agencia de ciberseguridad estadounidense CISA ha añadido la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas.
Enlace a los ciberespías chinos
Mandiant vinculó la explotación de CVE-2025-0282 con ciberactores chinos, señalando el uso de una familia de malware previamente descubierta llamada Spawn. Este conjunto de herramientas incluye varias herramientas maliciosas, como un instalador, un tunelizador y una puerta trasera SSH, todas vinculadas a actividades de espionaje atribuidas a UNC5337.
Además de Spawn, Mandiant identificó dos nuevas familias de malware llamadas DryHook y PhaseJam, que actualmente no están asociadas con ningún grupo de amenazas conocido. La cadena de explotación implica que los atacantes envíen solicitudes para identificar versiones de software del dispositivo y luego aprovechen CVE-2025-0282 para obtener acceso, desactivar las protecciones de seguridad e implementar malware adicional.
Una vez comprometidos, los atacantes utilizaron el cuentagotas PhaseJam para crear shells web en los dispositivos conectados. PhaseJam también modifica los scripts de actualización para bloquear las actualizaciones reales. El kit de herramientas Spawn, que pretende persistir en las actualizaciones del sistema, también se implementa junto con las nuevas familias de malware.
El objetivo principal de los atacantes parece ser robar información confidencial relacionada con sesiones de VPN, claves API y credenciales archivando bases de datos en los dispositivos afectados y preparando estos datos para su filtración. DryHook se ha empleado para capturar las credenciales de los usuarios durante los procesos de autenticación.
Los expertos en seguridad recomiendan que los administradores del sistema realicen un restablecimiento de fábrica y actualicen a Ivanti Connect Secure versión 22.7R2.5. Este aviso es fundamental dado que más de 3600 dispositivos ICS estuvieron previamente expuestos en línea cuando se anunció la vulnerabilidad inicial, aunque desde entonces el número ha disminuido a aproximadamente 2800, lo que indica un riesgo significativo continuo.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje
