IT 軟件供應商 Ivanti 最近發布了一個現已修補的關鍵安全漏洞的詳細信息,該漏洞影響 Ivanti Connect Secure (ICS) VPN 設備、Pulse Connect Secure、Ivanti Policy Secure 和 ZTA 網關,該漏洞正在被廣泛利用。
該漏洞被識別為 CVE-2025-22457(CVSS 評分為 9.0),是一個基於堆棧的緩衝區溢出,允許未經身份驗證的遠程攻擊者在受影響的系統上實現遠程代碼執行,可能導致整個系統受損。不過,此缺陷已在 2025 年 2 月 11 日發布的 Ivanti Connect Secure 版本 22.7R2.6 中得到修復。
Ivanti 表示:“該漏洞是一個緩衝區溢出,字符僅限於句點和數字,經評估後確定該漏洞不能用於遠程執行代碼,也不符合拒絕服務的要求。”在周四發布的安全建議中表示。
該漏洞影響以下產品及版本:
| 產品名稱 | 受影響的版本 | 已解決的版本 | 補丁可用性 |
| Ivanti 連接安全 | 22.7R2.5 及更早版本 | 22.7R2.6(2025 年 2 月 11 日發布) | 下載門戶 |
| 脈衝安全連接 (EoS) | 9.1R18.9 及之前版本 | 22.7R2.6 | 聯繫 Ivanti 進行遷移 |
| Ivanti 政策安全 | 22.7R1.3 及之前版本 | 22.7R1.4 | 4月21日 |
| ZTA 網關 | 22.8R2 及更早版本 | 22.8R2.2 | 4月19日 |
Ivanti 表示,它知道使用 Ivanti Connect Secure(22.7R2.5 及更早版本)和 Pulse Connect Secure 9.1x 的“客戶數量有限”,這些設備已於 2024 年 12 月停產,已被利用。它補充說,截至披露時,它還不知道有任何在野外利用 Policy Secure 或 ZTA 網關的情況。
該公司補充道:“客戶應監控其外部 ICT 並查找 Web 服務器崩潰情況。如果您的 ICT 結果顯示受到損害的跡象,則應在設備上執行出廠重置,然後使用版本 22.7R2.6 將設備重新投入生產。”
在 Ivanti 披露後,Google 旗下的 Mandiant 發布了一篇單獨的博客文章,其中詳細介紹了 CVE-2025-22457 漏洞利用後的其他發現結果。
據 Mandiant 稱,第一個已知的 CVE-2025-22457 漏洞利用事件是在 2025 年 3 月中旬觀察到的,據信是由與中國有聯繫的間諜組織 UNC5221 實施的,該組織自 2023 年以來就有利用 Ivanti 產品中的零日漏洞的歷史。 UNC5221 此前曾利用過三個零日漏洞:CVE-2025-0282,CVE-2023-46805和CVE-2024-21887。
確保自己的安全
同時,Mandiant 強烈敦促組織立即應用可用補丁,將 Ivanti Connect Secure (ICS) 設備升級到版本 22.7R2.6 或更高版本,以解決 CVE-2025-22457 漏洞。
此外,它建議組織應使用外部和內部完整性檢查工具(“ICT”),並在檢測到任何可疑活動時聯繫 Ivanti 支持。
