Des hackers liés à la Chine exploitent activement une faille critique dans les équipements VPN Ivanti Connect Secure, touchant plus de 5 000 appareils dans le monde. La vulnérabilité CVE-2025-22457, initialement jugée bénigne, permet en réalité une exécution de code à distance — et des organisations françaises pourraient être exposées.
Tout a commencé par une mauvaise évaluation. Lorsqu’Ivanti a publié un correctif pour cette faille en mars 2025, l’entreprise la classait comme un simple risque de déni de service — sans gravité suffisante pour déclencher une alerte urgente. Un groupe d’espionnage chinois, baptisé UNC5221 par Google Threat Intelligence Group, a étudié ce patch en détail et compris qu’il masquait quelque chose de bien plus dangereux.
5 000 équipements vulnérables dans le monde
En réalité, la faille permettait l’exécution de code arbitraire à distance sur les versions 22.7R2.5 et antérieures d’Ivanti Connect Secure. D’après SecurityWeek, plus de 5 000 appliances VPN restent exposées à l’heure actuelle.
La CISA américaine a intégré CVE-2025-22457 à son catalogue des vulnérabilités activement exploitées, rendant le correctif obligatoire pour les agences fédérales US sous 48 heures.
A lire également
Deux nouveaux malwares déployés : Trailblaze et Brushfire
Les attaquants ne se contentent pas d’entrer. Selon Google Cloud Blog, UNC5221 déploie ensuite deux malwares inédits après exploitation : Trailblaze, un dropper qui ne laisse aucune trace en mémoire persistante, et Brushfire, une backdoor passive qui attend des instructions sans générer de trafic réseau suspect.
Résultat : une présence discrète, difficile à détecter, dans les réseaux d’entreprise.
A lire également
12 pays et 20 secteurs touchés
D’après CybersecurityNews, le groupe UNC5221 a infiltré des organisations dans 12 pays couvrant 20 secteurs différents, dont la défense, les télécoms, la santé et la finance. Aucun chiffre officiel ne précise combien d’entités françaises ou européennes sont concernées, mais l’exposition est mondiale.
Les VPN d’entreprise sont devenus une cible de choix. Les appliances exposées directement sur internet — pare-feux, passerelles SSL, identité cloud — concentrent aujourd’hui l’essentiel des attaques étatiques, selon les tendances observées par l’ANSSI.
Que faire si vous utilisez Ivanti Connect Secure ?
La mise à jour vers la version 22.7R2.6 est le seul remède. Ivanti a publié ce correctif dès le 3 avril 2025. Si la mise à jour n’a pas encore été appliquée dans votre organisation, il faut considérer l’équipement comme potentiellement compromis et lancer une investigation forensique, selon les recommandations de la CISA.
Pour les particuliers, cette faille ne concerne que les VPN professionnels d’entreprise — pas les services grand public comme NordVPN ou ExpressVPN, qui fonctionnent sur une architecture différente.
