CISA попереджає про активне застосування нової вразливості CVE-2025-22457 у продуктах Ivanti хакерами, яких пов’язують з Китаєм. Незважаючи на випущений патч, атак зазнали навіть державні клієнти, а ураження торкнулося пристроїв, які вже не підтримуються виробником.
Уразливість зачепила продукти Ivanti Connect Secure, Policy Secure та ZTA Gateways, що активно використовуються урядовими структурами та великими організаціями для гарантування безпечного віддаленого доступу. Атаку приписують угрупованню UNC5221, яке, за даними Mandiant та Google Threat Intelligence Group, займається шпигунськими операціями на користь Китаю.
Хакери застосували баг для розгортання складної екосистеми шкідливого ПЗ, відомої як Spawn, а також бекдора Brushfire. Перші випадки експлуатації фіксувалися ще в середині березня.
Ivanti наголосила, що проблема стосується переважно старих, більше не підтримуваних пристроїв, і порадила клієнтам переходити на оновлені платформи. Постраждалим користувачам рекомендується провести повне скидання пристрою після перевірки через спеціальний інструмент integrity checker.
Це не перший інцидент, пов’язаний із продукцією Ivanti. У січні хакери тієї ж групи вже використовували CVE-2025-0282, а раніше — CVE-2023-46805 та CVE-2024-21887. UNC5221 спеціалізується на атаках на edge-пристрої, використовуючи інфраструктуру зламаних маршрутизаторів та серверів (**Cyberoam**, QNAP, **ASUS**) для приховування своїх дій. Вразливість спершу вважалась невикористовуваною, однак згодом було підтверджено складні техніки її застосування.
Ivanti вкотре застерігає клієнтів від використання застарілого обладнання. Експерти закликають галузь самостійно перевіряти ризики та ефективність патчів. Фахівці попереджають: вразливості у критично важливих пристроях залишаються головним вектором атак державних угруповань.
183 
190 
176 