Analyse de la vulnérabilité CVE-2025-22457 affectant les produits Ivanti

Contexte

Le 3 avril 2025, le CERT-FR a publié une alerte (CERTFR-2025-ALE-003) signalant une vulnérabilité critique dans plusieurs produits de sécurité édités par Ivanti, dont Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Pulse Connect Secure, et les Zero Trust Access (ZTA) Gateways. Cette vulnérabilité, référencée CVE-2025-22457, a été évaluée comme hautement critique en raison de sa facilité d’exploitation et de son impact.

Cette analyse propose une synthèse technique et stratégique de la vulnérabilité, en s’appuyant sur les bulletins de l’éditeur, les avis du CERT-FR, et les observations publiées par Mandiant (filiale de Google Cloud spécialisée en threat intelligence).

Description technique de la vulnérabilité

La vulnérabilité CVE-2025-22457 repose sur un débordement de pile (stack overflow) permettant à un attaquant non authentifié de déclencher une exécution de code arbitraire à distance (RCE). Le vecteur d’attaque est accessible via une interface exposée sur Internet, rendant l’ensemble des appliances vulnérables s’ils ne sont pas patchés ou correctement segmentés.

Produits et versions concernées :

• Ivanti Connect Secure < 22.7R2.6
• Ivanti Policy Secure < 22.7R1.4
• Pulse Connect Secure < 22.7R2.6
• ZTA Gateways < 22.8R2.2

L’impact potentiel est majeur : compromission de l’équipement, installation de charges malveillantes, mouvements latéraux dans le SI, persistance via portes dérobées.

Exploitation active et chronologie

Selon Ivanti, la vulnérabilité est activement exploitée dans la nature depuis mars 2025. Ce point est confirmé par Mandiant, qui indique dans son rapport du 3 avril 2025 avoir observé des traces de compromission dès la mi-mars, dans des contextes suggérant une exploitation ciblée par des acteurs étatiques.

• 11 février 2025 : Correctif publié pour ICS (22.7R2.6)
• Mi-mars 2025 : Activité malveillante détectée (Mandiant)
• 3 avril 2025 : Alerte CERT-FR et bulletin Ivanti
• 19 avril 2025 : Correctif annoncé pour ZTA Gateways
• 21 avril 2025 : Correctif annoncé pour Ivanti Policy Secure

Pulse Connect Secure en version 9.1x est officiellement en fin de vie depuis le 31 décembre 2024. Aucun correctif ne sera fourni pour ces versions : les utilisateurs doivent migrer vers les nouvelles générations ICS.

Considérations de sécurité

Ce cas présente plusieurs enseignements stratégiques pour les directions de la sécurité des systèmes d’information :

1. Temps de réactivité long : la chronologie entre la publication initiale de correctifs (février), la reconnaissance de l’exploitation active (mars), et la communication consolidée (avril) crée un angle mort de détection important. Ce laps de temps nécessite un retour sur logs sur plusieurs semaines.
2. Failles en chaîne ? : la proximité entre CVE-2025-22457 et une vulnérabilité précédente (CVE-2025-0282 – signalée en janvier) dans des composants similaires interroge sur l’existence de séries de failles structurelles dans le code des appliances Ivanti.
3. Cohabitation fin de vie / parc actif : la présence résiduelle de Pulse Connect Secure 9.1x, désormais non supporté, est un risque critique dans de nombreux SI. Ce point impose une cartographie immédiate et une priorisation des migrations.

Recommandations

Pour les équipes techniques et les responsables sécurité :

• Installer les correctifs publiés dès qu’ils sont disponibles (cf. calendrier Ivanti).
• Auditer les équipements exposés, même si les mises à jour ont été effectuées avant l’alerte publique.
• Analyser les logs réseau et système depuis au moins le 10 mars 2025, à la recherche d’activités suspectes.
• Bloquer temporairement les interfaces d’administration depuis l’extérieur ou mettre en place une segmentation stricte jusqu’à correction.
• Prioriser les migrations vers des versions maintenues, en particulier pour les appliances Pulse CS encore en 9.1x.
• Mettre en place une veille spécifique sur les produits Ivanti, étant donné la répétition de vulnérabilités majeures depuis 2023.

En conclusion

La vulnérabilité CVE-2025-22457 confirme la tendance des dernières années : les équipements d’accès distant, autrefois considérés comme simples portes VPN, sont devenus des cibles privilégiées dans les campagnes d’attaques complexes.

Elle illustre également la nécessité, pour les CERT internes et les RSSI, de mettre en place des stratégies de patching accélérées, des mécanismes de détection post-exploitation, et des plans de retrait de composants obsolètes avant même la fin officielle de leur support.

Références

• CERT-FR, CERTFR-2025-ALE-003
• Ivanti, April 2025 Security Advisory
• Mandiant, Rapport de threat intelligence – avril 2025
• CVE Details, CVE-2025-22457