Ivanti Connect Secure 存在关键安全漏洞（CVE-2025-22457），已被积极利用，可能导致远程代码执行。该漏洞影响多个版本的 Ivanti 产品，包括 Connect Secure、Policy Secure 和 ZTA Gateways。攻击者利用该漏洞部署恶意软件，如 TRAILBLAZE、BRUSHFIRE 和 SPAWN，以窃取凭据和进行进一步的网络入侵。谷歌旗下的 Mandiant 确认了该漏洞的利用，并将其归因于与中国相关的威胁组织 UNC5221。CISA 已将该漏洞添加到已知被利用漏洞目录中，并建议联邦机构尽快修复。

🛡️ Ivanti Connect Secure 存在 CVE-2025-22457 堆栈缓冲区溢出漏洞，允许远程未认证攻击者执行任意代码。

🚨 受影响的产品包括 Ivanti Connect Secure、Policy Secure 和 ZTA Gateways，不同版本的修复补丁已于 2025 年 2 月和 4 月发布。

💻 攻击者利用该漏洞部署恶意软件，如 TRAILBLAZE、BRUSHFIRE 和 SPAWN，旨在建立持久的后门访问。

🇨🇳 该攻击被归因于与中国相关的 UNC5221 组织，该组织有利用 Ivanti 设备零日漏洞的历史。

✅ CISA 已将 CVE-2025-22457 添加到其已知被利用漏洞目录，建议用户进行修复和设备重置。

HackerNews 编译，转载请注明出处：

Ivanti披露了一个已修补的关键安全漏洞，该漏洞影响其Connect Secure，且已被积极利用。

该漏洞编号为CVE-2025-22457（CVSS评分：9.0），是一个堆栈缓冲区溢出漏洞，可被利用来在受影响系统上执行任意代码。

“Ivanti Connect Secure在22.7R2.6版本之前、Ivanti Policy Secure在22.7R1.4版本之前以及Ivanti ZTA Gateways在22.8R2.2版本之前存在堆栈缓冲区溢出漏洞，允许远程未认证攻击者实现远程代码执行，”Ivanti在周四发布的一份警报中表示。

受影响的产品和版本如下：

– Ivanti Connect Secure（22.7R2.5及更早版本）- 在22.7R2.6版本中修复（补丁于2025年2月11日发布）

– Pulse Connect Secure（9.1R18.9及更早版本）- 在22.7R2.6版本中修复（由于该设备已于2024年12月31日达到支持结束，需联系Ivanti进行迁移）

– Ivanti Policy Secure（22.7R1.3及更早版本）- 在22.7R1.4版本中修复（将于4月21日发布）

– ZTA Gateways（22.8R2及更早版本）- 在22.8R2.2版本中修复（将于4月19日发布）

Ivanti表示，已知有“少量客户”的Connect Secure和已停止支持的Pulse Connect Secure设备遭到利用。没有证据表明Policy Secure或ZTA网关在野外遭到滥用。

Ivanti指出：“客户应监控其外部ICT，寻找Web服务器崩溃的迹象。如果您的ICT结果显示有被入侵的迹象，您应对设备执行出厂重置，然后使用22.7R2.6版本将设备重新投入生产。”

值得一提的是，Connect Secure 22.7R2.6版本还解决了多个关键漏洞（CVE-2024-38657、CVE-2025-22467和CVE-2024-10644），这些漏洞可能允许远程认证攻击者写入任意文件和执行任意代码。

谷歌旗下的Mandiant在其自己的公告中表示，其在2025年3月中旬观察到CVE-2025-22457被利用的证据，使威胁行为者能够部署一个名为TRAILBLAZE的内存中dropper、一个被动后门BRUSHFIRE以及SPAWN恶意软件套件。

攻击链本质上涉及使用多阶段shell脚本dropper来执行TRAILBLAZE，然后TRAILBLAZE直接将BRUSHFIRE注入到运行中的Web进程的内存中，试图绕过检测。这种利用活动旨在在受入侵的设备上建立持久的后门访问，可能实现凭据窃取、进一步的网络入侵和数据窃取。

SPAWN恶意软件生态系统包括以下组件：

– SPAWNSLOTH，一个日志篡改工具，可在SPAWNSNAIL后门运行时禁用日志记录和将日志转发到外部syslog服务器

– SPAWNSNARE，一个基于C的程序，用于将未压缩的Linux内核映像（vmlinux）提取到文件中，并使用AES进行加密

– SPAWNWAVE，SPAWNANT的改进版本，结合了SPAWN的各个元素（与SPAWNCHIMERA和RESURGE重叠）

SPAWN的使用被归因于一个与中国有关的对手UNC5221，该对手有利用Ivanti Connect Secure（ICS）设备中的零日漏洞的历史，以及其他集群如UNC5266、UNC5291、UNC5325、UNC5330、UNC5337和UNC3886。

根据美国政府的说法，UNC5221也被评估为与威胁组织如APT27、Silk Typhoon和UTA0178有重叠。然而，威胁情报公司告诉《黑客新闻》，其没有足够的证据来确认这一联系。

“Mandiant将UNC5221追踪为一个活动集群，该集群反复利用边缘设备的零日漏洞，”谷歌威胁情报团队的中国任务技术负责人Dan Perez告诉该出版物。

“政府所称的这个集群与APT27之间的联系是合理的，但我们没有独立证据来确认。Silk Typhoon是微软对这一活动的命名，我们无法对他们的归因发表评论。”

除了利用影响Citrix NetScaler设备的CVE-2023-4966的零日漏洞外，UNC5221还利用了一个由受损Cyberoam设备、QNAP设备和ASUS路由器组成的混淆网络，在入侵操作期间掩盖其真实来源，这一方面也得到了微软早在上个月的强调，详细描述了Silk Typhoon的最新战术。

该公司进一步推测，威胁行为者可能分析了Ivanti在2月发布的补丁，并找到了一种方法来利用旧版本，以针对未修补的系统实现远程代码执行。这一发展标志着UNC5221首次被归因于Ivanti设备中安全漏洞的N-day利用。

“UNC5221的最新活动强调了与中国有关的间谍集团对全球边缘设备的持续攻击，”Mandiant咨询CTO Charles Carmakal表示。

“这些行为者将继续研究安全漏洞，并为企业系统开发定制恶意软件，这些系统不支持EDR解决方案。中国相关间谍行为者的网络入侵活动速度继续增加，这些行为者比以往任何时候都更出色。”

更新：

美国网络安全和基础设施安全局（CISA）于2025年4月4日将CVE-2025-22457添加到其已知被利用漏洞（KEV）目录中，要求联邦机构在2025年4月11日之前应用修复措施，以防范积极的利用努力。

该机构还建议客户对设备进行出厂重置，“以获得最高级别的信心”，在发生入侵的情况下将受影响的实例隔离并断开与网络的连接，并轮换密码。

“组织进行自己的分析至关重要，行业在做出风险决策时继续独立审查漏洞及其可利用性和影响，”watchTowr首席执行官Benjamin Harris表示。

 

---

消息来源：The Hacker News；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文