首页 / 网络安全 / 文章

Ivanti产品现远程代码执行漏洞CVE-2025-22457,已遭恶意利用,速查并打补丁

网络安全 潘老师 2周前 (04-07) 73 ℃ (0) 扫码查看

近期,安全领域曝光了一则重要信息:Ivanti披露了一个编号为CVE-2025-22457的严重漏洞,该漏洞涉及旗下Connect Secure、Pulse Connect Secure、Ivanti Policy Secure和ZTA Gateways等产品,并且已经被黑客恶意利用,这给众多使用相关虚拟专用网络(VPN)和网络访问解决方案的组织带来极大风险。

一、漏洞详情与危害

(一)漏洞类型与成因

CVE-2025-22457属于基于栈的缓冲区溢出漏洞(CWE-121)。简单来说,就是程序在处理输入数据时,没有对输入进行严格的验证,导致攻击者可以利用这个漏洞,往缓冲区里写入超出其容量的数据,从而实现溢出,最终达到执行任意代码的目的,这就是远程代码执行(RCE)。通用漏洞评分系统(CVSS)给这个漏洞打出了9.0的高分,足以见得它的危险性。

(二)受影响的产品版本

受该漏洞影响的产品及版本如下:

  1. Ivanti Connect Secure:22.7R2.5及更早版本。
  2. Pulse Connect Secure:9.1R18.9及更早版本(这款产品在2024年12月31日就已停止支持)。
  3. Ivanti Policy Secure:22.7R1.3及更早版本。
  4. ZTA Gateways:22.8R2及更早版本 。

(三)漏洞利用情况

臭名昭著的UNC5221组织,向来喜欢攻击边缘设备,之前就利用过Ivanti的零日漏洞,像CVE-2023-46805。这次,他们盯上了CVE-2025-22457漏洞,通过这个漏洞来部署恶意软件,比如Trailblaze(一种内存加载器)、Brushfire(一种被动后门),还有用于窃取凭证和进行横向移动的Spawn套件。而且,他们得手之后,还会用SPAWNSLOTH这类工具篡改日志,以此来逃避检测。

二、产品受攻击情况与补丁信息

(一)受攻击产品及补丁情况

  1. Ivanti Connect Secure:部分运行22.7R2.5或更早版本的客户设备受到了攻击。目前,Ivanti已经推出22.7R2.6版本来修复这个漏洞,大家可以在Ivanti的门户网站获取该版本。要是设备已经遭受攻击,建议进行工厂重置,然后重新部署22.7R2.6版本。
  2. Pulse Connect Secure:运行9.1x版本设备的客户受到了攻击。由于该产品已停止支持,受影响的用户需要联系Ivanti进行迁移。
  3. Ivanti Policy Secure:目前还没有观察到该产品被攻击的情况。因为它不直接面向互联网,相对来说风险较低。不过,官方会在2025年4月21日发布22.7R1.4版本的补丁。
  4. ZTA Gateways:暂未收到被攻击的报告,仅未连接的网关存在一定风险。官方会在2025年4月19日自动为其应用22.8R2.2版本的补丁。

(二)漏洞修复历程

这个漏洞其实早在2025年2月11日就在Ivanti Connect Secure 22.7R2.6版本中修复了。起初,由于漏洞利用存在字符集限制(仅为句点和数字),大家都以为这只是个低风险的拒绝服务问题。但没想到,UNC5221可能对补丁进行了逆向工程,开发出了针对未打补丁系统的远程代码执行利用程序,让漏洞的危害大幅提升。

三、检测与缓解措施

(一)检测方法

Ivanti建议大家使用完整性检查工具(ICT)来监控设备是否受到攻击。比如,留意Web服务器有没有异常崩溃等迹象。如果发现有被攻击的可能,可以去Mandiant的博客查找更多受攻击的迹象信息。

(二)缓解建议

一旦检测到设备可能受攻击,建议进行工厂重置,并升级到22.7R2.6版本。另外,@nekono_naha在X平台发文指出,在12471台暴露的Ivanti/Pulse Connect Secure服务器中,66%(8246台)存在漏洞,其中50%(6049台)运行的是9.x之前的版本。这一数据充分说明了打补丁的紧迫性。

四、给相关组织的建议

面对这样的安全威胁,各组织千万不能掉以轻心,需要迅速采取以下行动:

  1. 及时更新补丁:尽快升级到Ivanti Connect Secure 22.7R2.6版本,如果使用的是Pulse Connect Secure,要及时联系迁移。
  2. 监控设备状态:利用ICT工具检测设备是否受到攻击,必要时进行重置操作。
  3. 降低暴露风险:确保Policy Secure和ZTA Gateways不直接面向互联网,减少被攻击的可能性。
  4. 加强异常监控:时刻留意设备的异常活动,比如有没有异常的出站连接,或者日志有没有被篡改。
  5. 关注安全动态:持续关注Ivanti的公告和Mandiant的博客,以便及时获取最新的安全信息。

此次CVE-2025-22457被利用事件,再次给大家敲响了网络安全的警钟,凸显了网络边缘设备面临的持续威胁。虽然Ivanti对受支持版本的问题做出了响应,但遗留系统依旧是个大麻烦。

版权声明:本站文章,如无说明,均为本站原创,转载请注明文章来源。如有侵权,请联系博主删除。
本文链接:https://www.panziye.com/safe/16823.html
喜欢 (0)
请潘老师喝杯Coffee吧!】
分享 (0)

相关文章

用户头像
发表我的评论
取消评论
表情 贴图 签到 代码

Hi,您需要填写昵称和邮箱!

  • 昵称【必填】
  • 邮箱【必填】
  • 网址【可选】