CVE-2025-0637:Ivanti Connect Secure和Policy Secure产品中的漏洞

Ivanti于2025年1月8日发布了针对其Connect Secure、Policy Secure和ZTA网关产品的安全通告,披露了两个严重的漏洞(CVE-2025-0282和CVE-2025-0283)。这些漏洞被认为是当前网络安全领域的重要关注点。以下是对这些漏洞的详细分析。

Ivanti Connect Secure和Policy Secure产品中的漏洞

CVE-2025-0282:远程代码执行漏洞

CVE-2025-0282是一种栈溢出漏洞,影响Ivanti Connect Secure版本之前的22.7R2.5、Ivanti Policy Secure版本之前的22.7R1.2以及Ivanti Neurons for ZTA网关版本之前的22.7R2.3。这类漏洞允许未经认证的远程攻击者执行远程代码,从而获得网络内的初始控制权。该漏洞被评为CVSS分数9.0,属于严重漏洞范畴。

CVE-2025-0283:本地特权升级漏洞

CVE-2025-0283也是一种栈溢出漏洞,但它影响的是Ivanti Connect Secure版本之前的22.7R2.5、Ivanti Policy Secure版本之前的22.7R1.2以及Ivanti Neurons for ZTA网关版本之前的22.7R2.3。这类漏洞允许本地认证的攻击者升级其特权。该漏洞被评为CVSS分数7.0,属于高风险漏洞范畴。

攻击活动分析

初始访问

我们观察到攻击者可能在2024年12月底利用了CVE-2025-0282零日漏洞,攻击了公共-facing Ivanti Connect Secure(ICS)VPN设备。虽然我们无法恢复具体的攻击工具,但在设备的debug.log文件中发现了多次错误记录,例如:

1
vc0 0 ifttls tnctransport.cc:1198 - Invalid IFT packet received from unauthenticated client. IP : <REDACTED>

这些错误表明攻击者多次尝试利用IFT连接的漏洞。

账户凭证收集和横向移动

攻击者使用一个自定义的Perl脚本ldap.pl来收集Ivanti设备上的账户凭证,然后通过RDP进行横向移动到其他系统。他们还使用了一个名为package.dll的内存Dump工具,用于Dump LSASS进程内存以获取凭证。

防御逃避

攻击者在破坏后进行了反溯分析,删除了关键日志文件以掩盖自己的行为。例如,他们删除了以下文件:

  • /data/runtime/logs/log.events.vc0
  • /data/var/dlogs/debuglog

持久性

攻击者尝试使用以下工具来保持持久性:

  • SPAWNMOLE:一个隧道工具
  • SPAWNSNAIL:一个SSH后门
  • SPAWNSLOTH:一个日志篡改工具

通过这些工具,攻击者在 Ivanti 设备上建立了持久性,并通过 DcomSrv 服务和 /mail 定时任务来保持后门。

总结和建议

Ivanti 已经发布了安全更新来修复这些 RCE 和特权升级漏洞。Ivanti 强烈建议用户应用这些更新,并且继续监控其 Integrity Checker Tool(ICT)以发现任何异常活动。

基于这些漏洞的攻击活动,我们强烈建议用户紧急更新其 Ivanti 设备,并且保持高警惕性,以防止进一步的攻击。Palo Alto Networks 的客户可以通过其产品和服务来获得额外的保护,包括 Cortex Xpanse 和 Cloud-Delivered Security Services。

如果您认为自己可能已经受到影响或有紧急情况,请联系 Unit 42 Incident Response team 或以下电话:

  • 北美:Toll Free:+1 (866) 486-4842
  • 英国:+44.20.3743.3660
  • 欧洲和中东:+31.20.299.3130
  • 亚洲:+65.6983.8730
  • 日本:+81.50.1790.0200
  • 澳大利亚:+61.2.4062.7950
  • 印度:00080005045107

我们将继续监控这些漏洞,并提供必要的指标以帮助防止进一步的攻击。