Ivanti ha lanzado actualizaciones cruciales de seguridad para abordar una vulnerabilidad crítica identificada como CVE-2025-22457, que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways. Esta vulnerabilidad puede ser explotada por actores maliciosos para tomar control de sistemas afectados. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) ha incluido esta vulnerabilidad en su Catálogo de Vulnerabilidades Explotadas Conocidas, subrayando su gravedad.
Para los usuarios de Ivanti Connect Secure que no hayan aplicado la actualización más reciente (22.7R2.6) antes del 28 de febrero de 2025, así como para las instancias de Pulse Connect Secure (que están en fin de vida útil), Policy Secure, y ZTA Gateways, CISA recomienda realizar una serie de medidas de seguridad.
Acciones recomendadas:
-
Caza de amenazas: Se sugiere ejecutar una herramienta de verificación de integridad externa (TIC) siguiendo las pautas de Ivanti. Además, es importante llevar a cabo investigaciones de ciberseguridad en cualquier sistema que haya estado o esté conectado a los dispositivos Ivanti susceptibles.
-
Medidas a seguir ante un posible compromiso: Si las investigaciones no muestran signos claros de compromiso, CISA aconseja realizar un reinicio de fábrica de los sistemas afectados, utilizando imágenes limpias conocidas para las configuraciones en la nube y virtuales.
-
Aplicación de parches: Se debe aplicar el parche para CVE-2025-22457 en los dispositivos afectados. Los parches para ZTA Gateways y Policy Secure estarán disponibles el 19 y 21 de abril, respectivamente. Es recomendable desconectar los dispositivos vulnerables hasta que dichas actualizaciones estén aplicadas.
- Monitoreo de servicios expuestos: Es crucial vigilar y auditar la autenticación y la gestión de identidades asociadas que podrían estar en riesgo, así como realizar auditorías de cuentas de acceso a nivel privilegiado.
Si, en cambio, las investigaciones de ciberseguridad confirman un compromiso:
-
Aislar dispositivos comprometidos: Todos los dispositivos afectados deben ser desconectados de la red y mantenerse aislados hasta que se haya seguido el proceso de mitigación y se hayan aplicado los parches adecuados.
-
Obtención de evidencia forense: Se recomienda tomar una imagen forense de los sistemas comprometidos o solicitar asistencia a Ivanti para obtener copias de las imágenes necesarias.
-
Reinicio de fábrica: Al igual que en casos de compromiso no verificado, es aconsejable realizar un reinicio de fábrica para garantizar que no persistan las intrusiones.
-
Revocación de certificados y contraseñas: Es esencial restablecer cualquier contraseña, claves o certificados expuestos, incluyendo la contraseña del administrador, claves de API y contraseñas de cuentas de usuario locales en la puerta de enlace.
- Restablecimiento de cuentas de dominio comprometidas: Si hay cuentas de dominio asociadas con productos Ivanti que han sido comprometidos, se deben restablecer las contraseñas, revocar boletos de Kerberos y tokens de cuentas en entornos híbridos.
Por último, si se detectan incidentes o actividad inusual, las organizaciones deben notificar de inmediato a CISA a través de la dirección Report@cisa.gov o llamando al (888) 282-0870. Se subraya que la información contenida en este informe se proporciona "tal cual" únicamente para fines informativos y CISA no respalda ninguna entidad comercial o producto específico mencionado en el documento.