Ivanti ha lanzado un parche urgente para su solución Connect Secure, corrigiendo la vulnerabilidad de día cero CVE-2025-22457, que fue explotada desde mediados de marzo. Este fallo de seguridad afectaba las redes privadas virtuales (VPN) de empresas que utilizan esta plataforma, poniendo en riesgo la seguridad de los sistemas.
Vulnerabilidad Crítica de Día Cero en Connect Secure
La vulnerabilidad de día cero CVE-2025-22457 en Ivanti Connect Secure ha sido clasificada como crítica con una puntuación de 9.0 en la escala CVSS, ya que permite a los atacantes ejecutar código arbitrario de manera remota sin necesidad de autenticación previa. Este fallo se debe a un manejo incorrecto de ciertas solicitudes dentro del servicio web del sistema, lo que facilita la inyección y ejecución de código malicioso. Como consecuencia, los atacantes pueden obtener acceso no autorizado, comprometer la confidencialidad de la información, ejecutar comandos con privilegios elevados e incluso interrumpir la disponibilidad del servicio, representando un riesgo significativo para empresas que dependen de Ivanti Connect Secure para la gestión segura de accesos remotos.
Productos Afectados y Soluciones Disponibles
La vulnerabilidad impacta principalmente versiones anteriores del software, esta sección muestra las versiones vulnerables de Ivanti Connect Secure y las versiones corregidas con parches de seguridad disponibles para mitigar el riesgo.
| Nombre del producto | Versiones afectadas | Versiones resueltas | Disponibilidad de parches |
| Ivanti Connect Secure | 22.7R2.5 y anteriores | 22.7R2.6 (febrero de 2025) | Portal de descargas |
| Ivanti Pulse Secure (EoS) | 9.1R18.9 y anteriores | 22.7R2.6 | Contactar a Ivanti para migrar |
| Ivanti Secure Policy | 22.7R1.3 y anteriores | 22.7R1.4 | 21 de abril |
| Pasarelas ZTA | 22.8R2 y anteriores | 22.8R2.2 | 19 de abril |
Posible Explotación y Recomendaciones de Monitoreo
Ivanti había afirmado que no se han registrado ataques activos contra esta vulnerabilidad. Sin embargo, el viernes 04 de abril a indicado lo siguiente:
La compañía dijo que está al tanto de un “número limitado de clientes” cuyos dispositivos Connect Secure y Pulse Connect Secure de fin de soporte han sido explotados. No hay pruebas de que las pasarelas Policy Secure o ZTA hayan sido objeto de abusos en la naturaleza.
“Los clientes deben monitorear sus TIC externas y buscar caídas en el servidor web”, señaló Ivanti. “Si el resultado de ICT muestra signos de compromiso, debe realizar un restablecimiento de fábrica en el dispositivo y, a continuación, volver a ponerlo en producción con la versión 22.7R2.6”.
Recomendaciones de Mitigación y Seguridad
- Seguimiento de Actualizaciones de Seguridad: Mantente al tanto de futuras actualizaciones de Ivanti y revisa regularmente el sitio web oficial de la empresa para asegurarte de que se aplican los parches y actualizaciones necesarias.
- Monitoreo continuo. Utilizar la herramienta de verificación de integridad (ICT) de Ivanti para detectar posibles signos de compromiso. Supervisar registros del servidor y prestar especial atención a caídas inesperadas del servicio web.
- Restauración en caso de actividad sospechosa. Si se detecta algún comportamiento anómalo, restablecer los dispositivos afectados a su configuración de fábrica. Reinstalar la versión actualizada (22.7R2.6) para garantizar la seguridad del sistema.
- Implementación de medidas de seguridad adicionales. Restringir el acceso a la interfaz de administración de Ivanti Connect Secure mediante listas de control de acceso (ACLs). Habilitar autenticación multifactor (MFA) para usuarios con acceso privilegiado. Monitorear conexiones VPN activas en busca de accesos inusuales o desde ubicaciones desconocidas.
- Restricción de Accesos: Limitar el acceso a la interfaz de administración de Ivanti Connect Secure utilizando listas de control de acceso (ACLs) puede ayudar a proteger el sistema de accesos no autorizados.
