Ivanti 修复了两个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的漏洞,其中一个漏洞(CVE-2025-0282)已被攻击者作为零日漏洞利用,以控制 Connect Secure VPN 设备。关于 CVE-2025-0282 和 CVE-2025-0283两者都是基于堆栈的缓冲区溢出问题: CVE-2025-0282允许未经认证的远程代码执行,CVE-2025-0283可被本地认证攻击者用于提升权限。Ivanti表示,由于CVE-2025-0282,“有限数量 ”客户的Ivanti Connect Secure设备已被利用。该公司指出:“完整性检查工具(ICT)在事件发生的当天就识别出了威胁行为者的活动,使 Ivanti 能够及时做出反应并迅速开发出修复程序。”“我们没有发现这些 CVE 在 Ivanti Policy Secure 或 ZTA 网关中被利用。我们没有迹象表明CVE-2025-0283正在被利用或与CVE-2025-0282连锁。我们在进行威胁排查时,也发现了被披露为CVE-2025-0283的漏洞,并将其也纳入了补丁中。”谷歌的曼迪安特(Mandiant)和微软的威胁情报中心(Threat Intelligence Center)已经帮助 Ivanti 应对了这一威胁,因此我们或许可以期待有关攻击活动的更多信息将很快发布。在整个 2024 年,包括 Connect Secure 在内的各种 Ivanti 解决方案中的零漏洞都被攻击者利用。怎么办?目前,只有 Ivanti Connect Secure 的支持版本可以使用补丁;Policy Secure 和 Ivanti Neurons for ZTA 网关的补丁正在开发中,将于 1 月 21 日推出。该公司要求客户使用内部和外部的 Ivanti Connect Secure 完整性检查工具 (ICT) 来验证其 Connect Secure 设备上安装的映像是否被修改过,同时承认 ICT 扫描 “不一定能检测到威胁行为者的活动,如果他们已将设备恢复到干净状态的话。”如果扫描报告有变化,Ivanti 建议:对设备执行出厂重置,确保删除任何恶意软件使用修复后的版本(v22.7R2.5)将设备重新投入生产Ivanti 表示,它将与已确认受到影响的客户共享入侵指标,以便他们使用这些指标进行取证调查。更多信息可通过向技术支持部门开票获取。
