Impatto Sistemico

Critico (78.2)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2025-22457 – già sanata dal vendor a febbraio 2025 – per i prodotti Ivanti Connect Secure (ICS) e Pulse Connect Secure (PCS).

Note : un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Tipologia

• Remote Code Execution

Descrizione

È stato recentemente rilevato lo sfruttamento della vulnerabilità CVE-2025-22457 – già sanata dal vendor a febbraio 2025 – per i prodotti Ivanti Connect Secure (ICS) e Pulse Connect Secure (PCS), soluzioni VPN SSL per l’accesso remoto sicuro alle risorse aziendali.

Tale vulnerabilità – di tipo “Stack-based Buffer Overflow” e con score CVSS v3.x pari a 9.0 – potrebbe consentire, a un utente malintenzionato remoto non autenticato, l’esecuzione di codice arbitrario sui dispositivi target.

Allo stato attuale, per i prodotti Policy Secure e ZTA Gateways, interessati dalla vulnerabilità, non risultano evidenze di sfruttamento attivo in rete.

Prodotti e versioni affette

• Ivanti Connect Secure, versione 22.7R2.5 e precedenti
• Pulse Connect Secure (EoS), versione 9.1R18.9 e precedenti
• Ivanti Policy Secure, versione 22.7R1.3 e precedenti
• ZTA Gateways, versione 22.8R2 e precedenti

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili, per i quali è stata rilasciata una patch, seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Si evidenzia che per le versioni 9.1.x e tutte le precedenti di Pulse Connect Secure il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOS).

Per i prodotti Ivanti Policy Secure e Ivanti ZTA Gateways, per i quali non sono ancora disponibili aggiornamenti, si consiglia monitorare il sito del vendor.