安全客 04月07日 10:15
Ivanti Connect Secure 远程代码执行漏洞被恶意利用,即刻打补丁防范风险!
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

Ivanti 产品中的 CVE-2025-22457 漏洞,一个基于栈的缓冲区溢出漏洞,自 2025 年 3 月中旬以来已被恶意利用,对使用 Ivanti Connect Secure、Pulse Connect Secure 等 VPN 产品的组织构成重大风险。该漏洞允许远程代码执行,攻击者利用其部署恶意软件,窃取凭证,并进行横向移动。Ivanti 已经发布补丁,建议用户立即升级,并采取监控措施以应对潜在的攻击。本次事件再次强调了网络边缘设备面临的持续威胁以及及时修补漏洞的重要性。

🚨 CVE-2025-22457 是一个 CVSS 评分为 9.0 的严重漏洞,影响 Ivanti Connect Secure、Pulse Connect Secure、Ivanti Policy Secure 和 ZTA Gateways 等产品。该漏洞为基于栈的缓冲区溢出漏洞,允许未经身份验证的攻击者实现远程代码执行。

💥 自 2025 年 3 月中旬以来,该漏洞已被积极利用,攻击者部署了 Trailblaze、Brushfire 等恶意软件,并使用 Spawn 套件窃取凭证。攻击者还篡改日志以逃避检测。

🛡️ Ivanti 已经发布了针对该漏洞的补丁。对于 Ivanti Connect Secure,建议升级到 22.7R2.6 版本;对于 Pulse Connect Secure,由于已停止支持,需联系 Ivanti 进行迁移;对于 Ivanti Policy Secure 和 ZTA Gateways,补丁将在 2025 年 4 月发布或自动应用。

🔍 组织应使用完整性检查工具(ICT)监控设备是否受到攻击,并关注异常活动。Ivanti 建议在检测到攻击时进行工厂重置并升级到最新版本。此外,及时获取信息并关注相关安全公告至关重要。

⚠️ 漏洞最初被低估,攻击者获得了长达一个月的利用时间,这强调了加快威胁情报共享的必要性。此次事件凸显了网络边缘设备持续面临的威胁以及稳健网络安全措施的重要性。

Ivanti 披露了一个严重漏洞 CVE-2025-22457,该漏洞影响其 Connect Secure、Pulse Connect Secure、Ivanti Policy Secure 和 ZTA Gateways 等产品,且已被积极利用。

这个基于栈的缓冲区溢出漏洞的通用漏洞评分系统(CVSS)评分为 9.0,自 2025 年 3 月中旬起就被恶意利用,给使用这些虚拟专用网络(VPN)和网络访问解决方案的组织带来了重大风险。

CVE-2025-22457 是一种基于栈的缓冲区溢出漏洞(CWE-121),允许远程的、未经身份验证的攻击者实现远程代码执行(RCE)。该漏洞源于输入验证不当,使攻击者能够溢出缓冲区并执行任意代码。

受影响的产品版本如下:

1.Ivanti Connect Secure:22.7R2.5 及更早版本。

2.Pulse Connect Secure:9.1R18.9 及更早版本(该产品已于 2024 年 12 月 31 日停止支持)。

3.Ivanti Policy Secure:22.7R1.3 及更早版本。

4.ZTA Gateways:22.8R2 及更早版本。

Ivanti 表示:“本次公告已更新,以明确在 Ivanti Connect Secure 中该漏洞已被完全修复。”

CVE-2025-22457 利用情况

UNC5221 以攻击边缘设备而闻名,此前也曾利用过 Ivanti 的零日漏洞,如 CVE-2023-46805。

攻击者利用 CVE-2025-22457 来部署恶意软件,如 Trailblaze(一种内存加载器)、Brushfire(一种被动后门)以及用于窃取凭证和进行横向移动的 Spawn 套件。攻击得手后,他们会使用像 SPAWNSLOTH 这样的工具篡改日志以逃避检测。

该漏洞于 2025 年 2 月 11 日在 Ivanti Connect Secure 22.7R2.6 版本中得到修复。最初,由于其字符集受限(仅为句点和数字),此漏洞被认为是低风险的拒绝服务问题。

然而,UNC5221 可能对补丁进行了逆向工程,针对未打补丁的系统开发出了远程代码执行的利用程序,从而加剧了该漏洞的严重性。

受影响的系统及补丁情况

Ivanti 确认,少数运行 Ivanti Connect Secure(22.7R2.5 或更早版本)和 Pulse Connect Secure 9.1x 设备的客户受到了攻击。具体情况如下:

1.Ivanti Connect Secure:升级到 22.7R2.6 版本,可在 Ivanti 的门户网站获取。若设备已受攻击,需进行工厂重置并重新部署 22.7R2.6 版本。

2.Pulse Connect Secure:由于该产品自 2024 年 12 月 31 日起已停止支持,需联系 Ivanti 进行迁移。

3.Ivanti Policy Secure:补丁(22.7R1.4 版本)将于 2025 年 4 月 21 日发布。目前尚未观察到该产品被攻击的情况,且由于它不面向互联网,风险相对较低。

4.ZTA Gateways:补丁(22.8R2.2 版本)将于 2025 年 4 月 19 日自动应用。仅未连接的网关存在风险,目前尚未有被攻击的报告。

检测与缓解措施

Ivanti 建议使用完整性检查工具(ICT)监控设备是否受到攻击,例如留意 Web 服务器崩溃等迹象。若检测到受攻击,建议进行工厂重置并升级到 22.7R2.6 版本。Mandiant 的博客提供了更多受攻击的迹象信息。

2025 年 4 月 4 日,@nekono_naha 在 X 平台上发文指出,在 12471 台暴露的 Ivanti / Pulse Connect Secure 服务器中,66%(8246 台)存在漏洞,其中 50%(6049 台)运行的是 9.x 之前的版本,这凸显了打补丁的紧迫性。

这是自 2024 年以来,Ivanti 第 15 次出现在美国网络安全与基础设施安全局(CISA)的已知被利用漏洞目录中,这表明其边缘设备存在系统性的安全挑战。

最初该漏洞被低估为低风险问题,使得攻击者在公开披露前有长达一个月的时间可利用,这强调了加快威胁情报共享的必要性。

给组织的建议

各组织应迅速采取行动:

1.立即打补丁:升级到 Ivanti Connect Secure 22.7R2.6 版本,或从 Pulse Connect Secure 进行迁移。

2.监控受攻击情况:使用 ICT 工具检测攻击,必要时进行重置。

3.减少暴露风险:确保 Policy Secure 和 ZTA Gateways 不面向互联网。

4.加强监控:留意异常活动,如出站连接或日志篡改。

5.及时了解信息:关注 Ivanti 的公告和Mandiant 的博客以获取最新信息。

CVE-2025-22457 被利用的事件凸显了网络边缘设备持续面临的威胁。

Ivanti 对受支持版本的问题做出了响应,但遗留系统仍然是一个挑战,这凸显了在不断变化的威胁环境中,需要采取稳健的网络安全措施。

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Ivanti CVE-2025-22457 VPN 安全漏洞
相关文章
F5 管理器现漏洞,能让攻击者开设账户并长期潜伏
Keyboard logging flaw affected nearly a billion users
Comment on Updating or Rekeying Fortigate certificates by JJ
Bluetooth reaches satellites in orbit + 2 more stories
蕴藏危机,Cinterion 蜂窝调制解调器存在高危安全漏洞
多模态大语言模型的致命漏洞:语音攻击
Two students uncovered a flaw that allows to use laundry machines for free