Ivanti Connect Secure 远程代码执行漏洞被恶意利用，即刻打补丁防范风险！

Ivanti 披露了一个严重漏洞 CVE-2025-22457，该漏洞影响其 Connect Secure、Pulse Connect Secure、Ivanti Policy Secure 和 ZTA Gateways 等产品，且已被积极利用。

这个基于栈的缓冲区溢出漏洞的通用漏洞评分系统（CVSS）评分为 9.0，自 2025 年 3 月中旬起就被恶意利用，给使用这些虚拟专用网络（VPN）和网络访问解决方案的组织带来了重大风险。

CVE-2025-22457 是一种基于栈的缓冲区溢出漏洞（CWE-121），允许远程的、未经身份验证的攻击者实现远程代码执行（RCE）。该漏洞源于输入验证不当，使攻击者能够溢出缓冲区并执行任意代码。

受影响的产品版本如下：

1.Ivanti Connect Secure：22.7R2.5 及更早版本。

2.Pulse Connect Secure：9.1R18.9 及更早版本（该产品已于 2024 年 12 月 31 日停止支持）。

3.Ivanti Policy Secure：22.7R1.3 及更早版本。

4.ZTA Gateways：22.8R2 及更早版本。

Ivanti 表示：“本次公告已更新，以明确在 Ivanti Connect Secure 中该漏洞已被完全修复。”

CVE-2025-22457 利用情况

UNC5221 以攻击边缘设备而闻名，此前也曾利用过 Ivanti 的零日漏洞，如 CVE-2023-46805。

攻击者利用 CVE-2025-22457 来部署恶意软件，如 Trailblaze（一种内存加载器）、Brushfire（一种被动后门）以及用于窃取凭证和进行横向移动的 Spawn 套件。攻击得手后，他们会使用像 SPAWNSLOTH 这样的工具篡改日志以逃避检测。

该漏洞于 2025 年 2 月 11 日在 Ivanti Connect Secure 22.7R2.6 版本中得到修复。最初，由于其字符集受限（仅为句点和数字），此漏洞被认为是低风险的拒绝服务问题。

然而，UNC5221 可能对补丁进行了逆向工程，针对未打补丁的系统开发出了远程代码执行的利用程序，从而加剧了该漏洞的严重性。

受影响的系统及补丁情况

Ivanti 确认，少数运行 Ivanti Connect Secure（22.7R2.5 或更早版本）和 Pulse Connect Secure 9.1x 设备的客户受到了攻击。具体情况如下：

1.Ivanti Connect Secure：升级到 22.7R2.6 版本，可在 Ivanti 的门户网站获取。若设备已受攻击，需进行工厂重置并重新部署 22.7R2.6 版本。

2.Pulse Connect Secure：由于该产品自 2024 年 12 月 31 日起已停止支持，需联系 Ivanti 进行迁移。

3.Ivanti Policy Secure：补丁（22.7R1.4 版本）将于 2025 年 4 月 21 日发布。目前尚未观察到该产品被攻击的情况，且由于它不面向互联网，风险相对较低。

4.ZTA Gateways：补丁（22.8R2.2 版本）将于 2025 年 4 月 19 日自动应用。仅未连接的网关存在风险，目前尚未有被攻击的报告。

检测与缓解措施

Ivanti 建议使用完整性检查工具（ICT）监控设备是否受到攻击，例如留意 Web 服务器崩溃等迹象。若检测到受攻击，建议进行工厂重置并升级到 22.7R2.6 版本。Mandiant 的博客提供了更多受攻击的迹象信息。

2025 年 4 月 4 日，@nekono_naha 在 X 平台上发文指出，在 12471 台暴露的 Ivanti / Pulse Connect Secure 服务器中，66%（8246 台）存在漏洞，其中 50%（6049 台）运行的是 9.x 之前的版本，这凸显了打补丁的紧迫性。

这是自 2024 年以来，Ivanti 第 15 次出现在美国网络安全与基础设施安全局（CISA）的已知被利用漏洞目录中，这表明其边缘设备存在系统性的安全挑战。

最初该漏洞被低估为低风险问题，使得攻击者在公开披露前有长达一个月的时间可利用，这强调了加快威胁情报共享的必要性。

给组织的建议

各组织应迅速采取行动：

1.立即打补丁：升级到 Ivanti Connect Secure 22.7R2.6 版本，或从 Pulse Connect Secure 进行迁移。

2.监控受攻击情况：使用 ICT 工具检测攻击，必要时进行重置。

3.减少暴露风险：确保 Policy Secure 和 ZTA Gateways 不面向互联网。

4.加强监控：留意异常活动，如出站连接或日志篡改。

5.及时了解信息：关注 Ivanti 的公告和Mandiant 的博客以获取最新信息。

CVE-2025-22457 被利用的事件凸显了网络边缘设备持续面临的威胁。

Ivanti 对受支持版本的问题做出了响应，但遗留系统仍然是一个挑战，这凸显了在不断变化的威胁环境中，需要采取稳健的网络安全措施。