El aumento significativo en la actividad de escaneo sospechoso dirigido a los sistemas VPN de SEGUS (ICS) y IPS IPS (IPS) de Ivanti Connect indica esfuerzos de reconocimiento coordinados potenciales por parte de los actores de amenazas.
Un pico que registra más de 230 direcciones IP únicas que examinan los puntos finales ICS/IPS en un día representa un aumento de nueve veces en una línea de base diaria típica de menos de 30 IPS únicas.
Actividades de escaneo e infraestructura
El sistema de vigilancia de Greynoise marcó esta anomalía con una etiqueta de escáner ICS dedicada que rastrea IP que intenta identificar sistemas ICS/IPS accesibles por Internet.
En los últimos 90 días, se ha observado que un total de 1.004 IPs únicos han realizado escaneos similares y han realizado las siguientes clasificaciones:
634 dudoso 244 malicioso 126 benigno
Es importante destacar que ninguno de estos IP es suplantable, lo que indica que el atacante ha aprovechado la infraestructura real y rastreable.
Los tres principales países de las actividades de escaneo son Estados Unidos, Alemania y los Países Bajos, siendo el objetivo principal las organizaciones de estos países.
Las IP maliciosas observadas previamente en otras actividades espeluznantes provienen principalmente de los nodos de salida TOR y los conocidos proveedores de nubes o VPS.
Por el contrario, las IP cuestionables a menudo están vinculadas a servicios de alojamiento menores conocidos e infraestructuras de nubes de nicho, lo que sugiere una combinación de actores sofisticados y oportunistas.
Estado de vulnerabilidad: CVE-2025-22457
Este aumento en los escaneos ha provocado precaución a CVE-2025-22457, una vulnerabilidad de desbordamiento de búfer basada en la pila crítica en Ivanti Connect Secure (versión 22.7R2.5 y anterior), y neuronas para Pulse Connect Connect Connect Secure 9.x (Fin de soporte actual), Política Ivanti Secure y ZTA Puertas.
Posteriormente se encontró que este defecto inicialmente subestimado permitía la ejecución del código remoto no certificado (RCE), lo que permite a un atacante ejecutar código arbitrario en un dispositivo vulnerable.
El parche CVE-2025-22457 se lanzó el 11 de febrero de 2025 (versión ICS 22.7R2.6), pero muchos dispositivos heredados permanecen menores y expuestos.
Ya se ha confirmado la explotación salvaje, con grupos avanzados de amenaza permanente (APT) como los parches de ingeniería inversa UNC5221 para desarrollar la explotación laboral.
Las VPN seguras de Ivanti Connect están ampliamente implementadas para el acceso remoto empresarial y son un objetivo valioso para los ciberdelincuentes y los actores de estado-nación.
Los patrones históricos muestran que un aumento en la actividad de escaneo a menudo precede a la divulgación pública o la explotación masiva de nuevas vulnerabilidades.
La ola actual de reconocimiento podría indicar que los atacantes están mapeando sistemas vulnerables en preparación para ataques a gran escala, campañas de ransomware o infracciones de datos.
Recomendaciones defensivas
Para mitigar el riesgo, su organización debe:
Inmediatamente parche todos los sistemas ICS/IPS a la última versión (ICS 22.7R2.6 o posterior). Verifique los registros de sondas sospechosas y verifique los intentos de iniciar sesión desde un IPS nuevo o no confiable. Los bloques donde se conocen IP maliciosos o sospechosos identificados por Greynoise y otros alimentos de inteligencia de amenazas. Monitorea específicamente la actividad de autenticación anormal de TOR o IP de host de nube. Identifique signos de compromiso utilizando la herramienta de verificación de integridad (TIC) de Ivanti.
Greynoise continúa rastreando esta amenaza en evolución y alienta a los equipos de seguridad a mantenerse atentos.
Los picos observados en los escaneos observados son advertencias claras. Los atacantes tratarán activamente de aprovechar el sistema seguro de Ivanti Connect no ganado. La defensa proactiva y los parches rápidos son esenciales para evitar el compromiso.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
