Ivanti 修复了两个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的漏洞,其中一个漏洞(CVE-2025-0282)已被攻击者作为零日漏洞利用,以控制 Connect Secure VPN 设备。
关于 CVE-2025-0282 和 CVE-2025-0283
两者都是基于堆栈的缓冲区溢出问题: CVE-2025-0282允许未经认证的远程代码执行,CVE-2025-0283可被本地认证攻击者用于提升权限。
Ivanti表示,由于CVE-2025-0282,“有限数量 ”客户的Ivanti Connect Secure设备已被利用。
该公司指出:“完整性检查工具(ICT)在事件发生的当天就识别出了威胁行为者的活动,使 Ivanti 能够及时做出反应并迅速开发出修复程序。”
“我们没有发现这些 CVE 在 Ivanti Policy Secure 或 ZTA 网关中被利用。我们没有迹象表明CVE-2025-0283正在被利用或与CVE-2025-0282连锁。我们在进行威胁排查时,也发现了被披露为CVE-2025-0283的漏洞,并将其也纳入了补丁中。”
谷歌的曼迪安特(Mandiant)和微软的威胁情报中心(Threat Intelligence Center)已经帮助 Ivanti 应对了这一威胁,因此我们或许可以期待有关攻击活动的更多信息将很快发布。
在整个 2024 年,包括 Connect Secure 在内的各种 Ivanti 解决方案中的零漏洞都被攻击者利用。
怎么办?
目前,只有 Ivanti Connect Secure 的支持版本可以使用补丁;Policy Secure 和 Ivanti Neurons for ZTA 网关的补丁正在开发中,将于 1 月 21 日推出。
该公司要求客户使用内部和外部的 Ivanti Connect Secure 完整性检查工具 (ICT) 来验证其 Connect Secure 设备上安装的映像是否被修改过,同时承认 ICT 扫描 “不一定能检测到威胁行为者的活动,如果他们已将设备恢复到干净状态的话。”
如果扫描报告有变化,Ivanti 建议:
- 对设备执行出厂重置,确保删除任何恶意软件
- 使用修复后的版本(v22.7R2.5)将设备重新投入生产
Ivanti 表示,它将与已确认受到影响的客户共享入侵指标,以便他们使用这些指标进行取证调查。更多信息可通过向技术支持部门开票获取。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容