Ivanti于2025年1月8日发布了针对其Connect Secure、Policy Secure和ZTA网关产品的安全通告,披露了两个严重的漏洞(CVE-2025-0282和CVE-2025-0283)。这些漏洞被认为是当前网络安全领域的重要关注点。以下是对这些漏洞的详细分析。
Ivanti Connect Secure和Policy Secure产品中的漏洞
CVE-2025-0282:远程代码执行漏洞
CVE-2025-0282是一种栈溢出漏洞,影响Ivanti Connect Secure版本之前的22.7R2.5、Ivanti Policy Secure版本之前的22.7R1.2以及Ivanti Neurons for ZTA网关版本之前的22.7R2.3。这类漏洞允许未经认证的远程攻击者执行远程代码,从而获得网络内的初始控制权。该漏洞被评为CVSS分数9.0,属于严重漏洞范畴。
CVE-2025-0283:本地特权升级漏洞
CVE-2025-0283也是一种栈溢出漏洞,但它影响的是Ivanti Connect Secure版本之前的22.7R2.5、Ivanti Policy Secure版本之前的22.7R1.2以及Ivanti Neurons for ZTA网关版本之前的22.7R2.3。这类漏洞允许本地认证的攻击者升级其特权。该漏洞被评为CVSS分数7.0,属于高风险漏洞范畴。
攻击活动分析
初始访问
我们观察到攻击者可能在2024年12月底利用了CVE-2025-0282零日漏洞,攻击了公共-facing Ivanti Connect Secure(ICS)VPN设备。虽然我们无法恢复具体的攻击工具,但在设备的debug.log文件中发现了多次错误记录,例如:
1 | vc0 0 ifttls tnctransport.cc:1198 - Invalid IFT packet received from unauthenticated client. IP : <REDACTED> |
这些错误表明攻击者多次尝试利用IFT连接的漏洞。
账户凭证收集和横向移动
攻击者使用一个自定义的Perl脚本ldap.pl来收集Ivanti设备上的账户凭证,然后通过RDP进行横向移动到其他系统。他们还使用了一个名为package.dll的内存Dump工具,用于Dump LSASS进程内存以获取凭证。
防御逃避
攻击者在破坏后进行了反溯分析,删除了关键日志文件以掩盖自己的行为。例如,他们删除了以下文件:
- /data/runtime/logs/log.events.vc0
- /data/var/dlogs/debuglog
持久性
攻击者尝试使用以下工具来保持持久性:
- SPAWNMOLE:一个隧道工具
- SPAWNSNAIL:一个SSH后门
- SPAWNSLOTH:一个日志篡改工具
通过这些工具,攻击者在 Ivanti 设备上建立了持久性,并通过 DcomSrv 服务和 /mail 定时任务来保持后门。
总结和建议
Ivanti 已经发布了安全更新来修复这些 RCE 和特权升级漏洞。Ivanti 强烈建议用户应用这些更新,并且继续监控其 Integrity Checker Tool(ICT)以发现任何异常活动。
基于这些漏洞的攻击活动,我们强烈建议用户紧急更新其 Ivanti 设备,并且保持高警惕性,以防止进一步的攻击。Palo Alto Networks 的客户可以通过其产品和服务来获得额外的保护,包括 Cortex Xpanse 和 Cloud-Delivered Security Services。
如果您认为自己可能已经受到影响或有紧急情况,请联系 Unit 42 Incident Response team 或以下电话:
- 北美:Toll Free:+1 (866) 486-4842
- 英国:+44.20.3743.3660
- 欧洲和中东:+31.20.299.3130
- 亚洲:+65.6983.8730
- 日本:+81.50.1790.0200
- 澳大利亚:+61.2.4062.7950
- 印度:00080005045107
我们将继续监控这些漏洞,并提供必要的指标以帮助防止进一步的攻击。