Am 3. April 2025 veröffentlichte Ivanti ein Advisory zu einer Sicherheitslücke in den Produkten Ivanti Connect Secure, Policy Secure und ZTA Gateways. Die Schwachstelle mit der Kennung CVE-2025-22457 erlaubt einem nicht authentifizierten Angreifer, Code auf verwundbaren Geräten auszuführen. Mit einem Wert von 9.0 wurde die Sicherheitslücke nach dem Common Vulnerability Scoring System als "kritisch" bewertet. Obwohl bereits seit dem 11. Februar ein Patch für Ivanti Connect Secure verfügbar ist (Version 22.7.R2.6), wurde die Schwachstellenbewertung erst jetzt veröffentlicht, weil Ivanti den Sachverhalt zunächst als Bug eingestuft hatte. Nun erfolgte jedoch die Klassifizierung als Stack-basierter Pufferüberlauf (CWE-121).

Verwundbar durch CVE-2025-22457 sind folgende Versionen der betroffenen Produkte:

• Ivanti Connect Secure, Policy Secure und ZTA Gateways bis einschließlich 22.7.R2.5,
• Ivanti Connect Secure, Policy Secure und ZTA Gateways mit End of Support Software-Versionen, insbesondere Pulse Connect Secure 9.1.x.

Ivanti und Mandiant berichten, dass es bereits zu Ausnutzungen auf ungepatchten und End-of-Support Ivanti Connect Secure Geräten gekommen sei. 

In Deutschland allein sind noch über 240 Systeme mit veralteten Software-Versionen im Einsatz (Stand 06.04.2025), ein Großteil wird trotz End-of-Support weiter betrieben.