Más de 5,000 dispositivos Ivanti Connect Secure VPN siguen sin parchear y son vulnerables a explotación activa
Un análisis reciente ha revelado que más de 5,113 dispositivos Ivanti Connect Secure VPN permanecen sin actualizar y expuestos a la explotación activa de la vulnerabilidad CVE-2025-22457. Esta falla crítica, identificada en enero de 2025, permite a los atacantes ejecutar código arbitrario de forma remota sin autenticación, lo que representa un riesgo significativo para las organizaciones afectadas.
Detalles técnicos de CVE-2025-22457
CVE-2025-22457 es una vulnerabilidad de ejecución remota de código (RCE) que afecta a las versiones 9.x y 10.x de Ivanti Connect Secure (anteriormente Pulse Secure). La falla reside en el componente de gestión de sesiones del servicio VPN, donde un buffer overflow permite la corrupción de memoria y posterior ejecución de comandos con privilegios elevados.
Los principales vectores de ataque incluyen:
- Explotación mediante peticiones HTTP/S malformadas
- Inyección de comandos a través del módulo de autenticación
- Manipulación de parámetros en las APIs administrativas
Impacto y riesgos asociados
La exposición de estos dispositivos sin parchear representa múltiples riesgos de seguridad:
- Acceso no autorizado a redes corporativas
- Exfiltración de credenciales y datos sensibles
- Establecimiento de puertas traseras persistentes
- Movimiento lateral dentro de las infraestructuras comprometidas
Según los últimos informes, grupos avanzados de amenazas ya están explotando activamente esta vulnerabilidad en campañas dirigidas contra sectores gubernamentales, financieros y de salud.
Recomendaciones de mitigación
Ivanti ha publicado parches críticos para todas las versiones afectadas. Las organizaciones deben:
- Aplicar inmediatamente las actualizaciones proporcionadas por Ivanti
- Implementar reglas IDS/IPS específicas para detectar intentos de explotación
- Restringir el acceso administrativo a los dispositivos VPN
- Monitorear logs de autenticación y tráfico sospechoso
- Considerar la implementación de autenticación multifactor adicional
Para dispositivos que no puedan ser actualizados inmediatamente, se recomienda aplicar las medidas de mitigación temporal proporcionadas por el fabricante, incluyendo la desactivación de ciertos servicios no esenciales.
Implicaciones para la postura de seguridad
Este incidente destaca varios desafíos críticos en la gestión de vulnerabilidades:
- La necesidad de procesos ágiles de parcheo para dispositivos perimetrales
- La importancia del inventario continuo de activos expuestos
- Los riesgos asociados con la prolongación del ciclo de vida de dispositivos legacy
Las organizaciones deben priorizar la remediación de esta vulnerabilidad dada su explotación activa y el alto impacto potencial de un compromiso exitoso.
