Análisis técnico de CVE-2025-22457: Vulnerabilidad RCE en productos Ivanti
Recientemente se ha publicado un análisis detallado sobre la vulnerabilidad CVE-2025-22457, un fallo crítico de ejecución remota de código (RCE) sin autenticación que afecta a varios productos de Ivanti. Este exploit fue utilizado activamente por actores de amenazas presuntamente vinculados a China, impactando sistemas como Ivanti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure y ZTA Gateways.
Detalles técnicos de la vulnerabilidad
La vulnerabilidad reside en el binario del servidor web HTTP(S) (/home/bin/web) y consiste en un desbordamiento de búfer basado en pila al procesar cabeceras X-Forwarded-For. Los investigadores de Rapid7 desarrollaron un exploit funcional en aproximadamente cuatro días hábiles, destacando su complejidad técnica:
- Se utiliza un búfer fijo de 50 bytes para almacenar valores de cabecera sin verificación adecuada de longitud
- La función solo cuenta caracteres que son dígitos o puntos (0-9 y “.”), limitando considerablemente el payload de explotación
Técnica de explotación avanzada
Los atacantes superan estas limitaciones mediante una sofisticada técnica de heap spray que incluye:
- Forzar la asignación de grandes cantidades de memoria controlada (~2.3GB) mediante el mecanismo de transporte IF-T/TLS
- Consumir espacio de direcciones para forzar asignaciones de heap en direcciones predecibles (ej. 0x39393930)
- Sobrescribir un puntero de variable de contexto para redirigir a la memoria controlada
El exploit aprovecha una serie de desreferenciaciones de punteros para lograr ejecución arbitraria de código mediante una cadena Return-Oriented Programming (ROP), ejecutando comandos shell a través de la aplicación vulnerable. Además, sortea la aleatorización del diseño del espacio de direcciones (ASLR) mediante fuerza bruta, aprovechando que el sistema objetivo solo usa 9 bits de entropía (requiriendo aproximadamente 512 intentos).
Parches y mitigaciones
Ivanti ha liberado actualizaciones de seguridad:
- Ivanti Connect Secure (versión 22.7R2.6) – Parche disponible desde el 11 de febrero de 2025
- Ivanti Policy Secure (22.7R1.4) – Parche programado para el 21 de abril de 2025
- ZTA Gateways (22.8R2.2) – Parche programado para el 19 de abril de 2025
Para Pulse Connect Secure (que alcanzó fin de soporte), se recomienda migrar a la última versión de Ivanti Connect Secure. Dado que ya se ha publicado un proof-of-concept en GitHub, la remediación inmediata es crítica para sistemas vulnerables.
Implicaciones para la seguridad
Este caso demuestra la asimetría entre las capacidades de los actores de amenazas y los procesos de evaluación de seguridad de los proveedores. Grupos patrocinados por estados están revirtiendo ingeniería de parches para identificar vulnerabilidades silenciosamente corregidas y desarrollar exploits complejos contra ellas.
Las organizaciones que utilizan productos afectados deben aplicar los parches inmediatamente o implementar las mitigaciones recomendadas mientras esperan las actualizaciones oficiales. Este incidente refuerza la necesidad de adoptar modelos de seguridad proactivos en lugar de reactivos.
