4月3日资安业者Ivanti发布资安公告，指出旗下的SSL VPN系统Connect Secure（ICS）存在重大层级的资安漏洞CVE-2025-22457，影响22.7R2.5以前的版本，值得留意的是，他们已经掌握有部分用户遭攻击的情况，隔日美国网路安全暨基础设施安全局（CISA）也将其列入已遭利用的漏洞列表（KEV）。

针对这项漏洞，Ivanti指出是记忆体缓冲区溢位造成，未通过身分验证的攻击者能远端执行任意程序码，CVSS风险达到9.0分，该公司已在今年2月发布的22.7R2.6版为ICS用户修补。他们提及部分尚未套用更新的用户遭到攻击的情况，其中有些是已终止支援（EOS）的Pulse Connect Secure 9.1x。

附带一提的是，Ivanti提及Ivanti Policy Secure、ZTA Gateways也存在这项漏洞，他们预计在4月19至21日发布相关更新程序。

针对这项漏洞被用于攻击行动的情况，协助调查的资安业者Mandiant公布相关调查结果，他们看到中国骇客UNC5221于3月中旬开始利用这项弱点，得逞后便会在受害组织部署恶意程序载入工具TrailBlaze，以及后门程序BrushFire。此外，这些骇客在去年底利用CVE-2025-0282的攻击行动里，运用的Spawn系列的恶意程序，他们也在今年3月的活动使用。

然而，值得留意的是，仍有不少ICS系统尚未套用新版程序而曝险，Shadowserver基金会指出，他们在4月6日进行扫描，结果发现网际网路上有5,113台ICS服务器尚未修补，美国、日本最多，分别有1,399、700台；值得留意的是，台湾有297台ICS尚未修补，比邻近的中国、韩国的250及242台都要来得多。