在Ivanti Apps/Services中部署的Treablaze＆Brushfire惡意軟件

IT軟件供應商Ivanti最近發布了影響Ivanti Connect Secure（ICS）VPN設備，Pulse Connect Secure，Ivanti Policy Secure和ZTA Gateways的現已繪製的關鍵安全漏洞的詳細信息，該設備正在野外積極利用。

該脆弱性被確定為CVE-2025-22457（CVSS得分為9.0），是一種基於堆棧的緩衝區溢出，允許遠程未經授權的攻擊者在受影響的系統上實現遠程代碼執行，可能導致完整的系統妥協。但是，該缺陷是在2025年2月11日發布的Ivanti Connect Secure 22.7r2.6中固定的。

“漏洞是一個緩衝區溢出，字符僅限於時期和數字，對其進行了評估，並確定不作為遠程代碼執行，並且不符合拒絕服務的要求，” ivanti在周四發布的安全建議中說。

漏洞會影響以下產品和版本：

產品名稱	受影響的版本	已解決版本	補丁可用性
Ivanti Connect Secure	22.7r2.5和先驗	22.7r2.6（2025年2月11日發布）	下載門戶
脈衝連接安全（EOS）	9.1R18.9和先驗	22.7r2.6	聯繫Ivanti遷移
Ivanti政策安全	22.7r1.3和先驗	22.7r1.4	4月21日
ZTA網關	22.8R2和先驗	22.8r2.2	4月19日

Ivanti表示，使用Ivanti Connect Secure（22.7r2.5及更早）和Pulse Connect Secure 9.1X，設備在2024年12月終止時，它已經意識到了“有限數量的客戶”和Pulse Connect Secure 9.1X，已被利用。它補充說，由於披露時，它不知道對野外的策略安全或ZTA網關的任何剝削。

該公司補充說：“客戶應監視其外部ICT並查找Web服務器崩潰。如果您的ICT結果顯示出折衷的跡象，則應在設備上執行出廠設備重置，然後使用版本22.7R2.6將設備重新放回生產中。”

伊万蒂（Ivanti）披露後，Google擁有的Mandiant發布了一篇單獨的博客文章，其中詳細介紹了CVE-2025-22457脆弱性，後解放後的其他發現。

根據Mandiant的說法，在2025年3月中旬觀察到CVE-2025-22457剝削的第一個已知實例，據信是由中國鏈接的Espionage Group unc5221進行的，他們具有利用零日漏洞的歷史，自2023年以來iivanti產品中的零日漏洞。CVE-2025-0282，，，，CVE-2023-46805和CVE-2024-21887。

保持安全

同時，Mandiant強烈敦促組織通過將Ivanti Connect Secure（ICS）設備升級到版本22.7R2.6或更高版本，以立即應用可用的補丁程序，以解決CVE-2025-22457脆弱性。

此外，它建議組織使用外部和內部完整性檢查器工具（“ ICT”），並在檢測到任何可疑活動時與Ivanti支持。