针对 Ivanti Connect Secure（ICS）和 Pulse Secure（IPS）虚拟专用网络（VPN）系统的可疑扫描活动大幅增加，这表明威胁行为者可能正在进行有组织的侦察活动。

这一激增现象表现为在一天内有超过 230 个不同的 IP 地址对 ICS/IPS 端点进行探测，相比通常每天少于 30 个不同 IP 地址的基线水平，增长了九倍。

扫描活动与基础设施

GreyNoise 的监控系统通过其专门的 ICS 扫描器标签标记了这一异常情况，该标签用于追踪试图识别可通过互联网访问的 ICS/IPS 系统的 IP 地址。

在过去的 90 天里，总共观察到 1004 个不同的 IP 地址进行了类似的扫描，分类如下：634 个可疑、244 个恶意、126 个良性

重要的是，这些 IP 地址都无法被伪造，这表明攻击者利用的是真实的、可追踪的基础设施。

扫描活动的前三大来源国是美国、德国和荷兰，而主要目标则是这些国家的机构组织。

此前在其他恶意活动中观察到的恶意 IP 地址主要来自Tor的出口节点以及知名的云服务提供商或虚拟专用服务器（VPS）提供商。

相比之下，可疑 IP 地址往往与不太知名的托管服务和小众云基础设施相关联，这表明攻击者既有技术精湛的，也有机会主义者。

漏洞情况：CVE-2025-22457

这种扫描活动的激增恰逢人们对 CVE-2025-22457 漏洞的关注度上升。这是 Ivanti Connect Secure（22.7R2.5 及更早版本）、Pulse Connect Secure 9.x（现已停止支持）、Ivanti Policy Secure 以及用于零信任架构（ZTA）网关的 Neurons 中存在的一个严重的基于栈的缓冲区溢出漏洞。

最初这个漏洞被低估了，后来发现它能让攻击者在无需身份验证的情况下实现远程代码执行（RCE），从而可以在易受攻击的设备上运行任意代码。

针对 CVE-2025-22457 漏洞的补丁已于 2025 年 2 月 11 日发布（ICS 版本 22.7R2.6），但许多旧设备仍未打补丁，处于暴露状态。

该漏洞在现实中已被证实遭到利用，诸如 UNC5221 这样的高级持续性威胁（APT）组织已经对该补丁进行逆向工程，以开发出可用的攻击手段。

Ivanti Connect Secure VPN 广泛应用于企业的远程访问，这使其成为网络犯罪分子和国家级行为者的高价值目标。

历史模式表明，扫描活动的激增往往发生在新漏洞公开披露或被大规模利用之前。

当前这波侦察活动可能意味着攻击者正在对易受攻击的系统进行测绘，为大规模攻击、勒索软件活动或数据泄露做准备。

防御建议

为降低风险，各机构组织应采取以下措施：

1.立即将所有 ICS/IPS 系统更新到最新版本（ICS 22.7R2.6 或更高版本）。

2.检查日志，查看来自新的或不可信 IP 地址的可疑探测和登录尝试。

3.封锁 GreyNoise 和其他威胁情报源识别出的已知恶意或可疑 IP 地址。

4.监控异常的身份验证活动，尤其是来自洋葱路由（Tor）或云托管 IP 地址的活动。

5.使用 Ivanti 的完整性检查工具（ICT）来识别系统是否已被入侵的迹象。

GreyNoise 将继续跟踪这一不断演变的威胁，并建议安全团队保持警惕。

观察到的扫描活动激增是一个明确的警告：攻击者正在积极寻找未打补丁的 Ivanti Connect Secure 系统进行利用。主动防御和快速打补丁对于防止系统被攻陷至关重要。