Hackers aprovechan una nueva vulnerabilidad de seguridad en el VPN de Ivanti para infiltrarse en redes empresariales.
Mandiant informa que un grupo chino de ciberespionaje ha estado aprovechando una vulnerabilidad de alta criticidad desde al menos mediados de diciembre.
Ivanti, una reconocida empresa de software en Estados Unidos, ha alertado sobre una vulnerabilidad de día cero en su popular dispositivo VPN empresarial, la cual ha sido utilizada para comprometer las redes de sus clientes corporativos. Esta vulnerabilidad, catalogada como CVE-2025-0282, puede ser explotada sin necesidad de autenticación, permitiendo a los atacantes implementar código malicioso en sus productos Connect Secure, Policy Secure y ZTA Gateways.
Connect Secure, la solución VPN de acceso remoto de Ivanti, se presenta como la más adoptada entre organizaciones de diversos tamaños y sectores. Este incidente representa la última de una serie de vulnerabilidades de seguridad que han afectado a los productos de Ivanti en años recientes. En respuesta a ataques anteriores que llevaron a una serie de ciberincidentes masivos, la compañía había prometido una revisión de sus procesos de seguridad.
Ivanti detectó la nueva vulnerabilidad a través de su herramienta Ivanti Integrity Checker Tool (ICT), que identificó actividad maliciosa en algunos de sus dispositivos. En un aviso oficial, la empresa confirmó que actores maliciosos ya estaban explotando esta vulnerabilidad activa y que, lamentablemente, se había descubierto antes de que la compañía pudiera implementar un arreglo. Hasta ahora, se ha reportado que un número limitado de clientes de Ivanti Connect Secure se vio afectado.
La compañía ha lanzado un parche para Connect Secure, mientras que las actualizaciones para Policy Secure y ZTA Gateways, que no han sido confirmados como explotables, se programan para liberarse el 21 de enero. Además, se identificó una segunda vulnerabilidad, nombrada CVE-2025-0283, que aún no ha sido aprovechada por los atacantes.
Aunque Ivanti no ha proporcionado información sobre la cantidad de clientes afectados ni sobre la identidad de los responsables de estos ataques, la firma de respuesta a incidentes Mandiant, que descubrió la vulnerabilidad junto con investigadores de Microsoft, señaló que han observado la explotación de Connect Secure desde mediados de diciembre de 2024. Mandiant no pudo atribuir el ataque a un grupo específico, pero se sospecha de una agrupación de ciberespionaje vinculada a China.
Expertos en seguridad, como Ben Harris de watchTowr Labs, han destacado el impacto significativo que ha tenido esta vulnerabilidad y han estado trabajando para informar a sus clientes al respecto. Harris enfatizó que los ataques muestran características de un uso avanzado de una vulnerabilidad crítica y urgió a los involucrados a tomarse la alerta con seriedad.
El Centro Nacional de Seguridad Cibernética del Reino Unido también ha indicado que está investigando casos de explotación activa que afectan a redes del país. La agencia de ciberseguridad de EE. UU., CISA, ha incluido esta vulnerabilidad en su catálogo de vulnerabilidades conocidas y explotadas.
