Ivanti 最近发布了一个安全公告,披露了其 Connect Secure 和 Policy Secure 产品中存在的两个严重漏洞,分别为 CVE-2025-0282 和 CVE-2025-0283。这些漏洞主要影响 Ivanti 的 ZTA 网关产品,包括 Connect Secure、Policy Secure 和 Ivanti Neurons for ZTA 网关。
CVE-2025-0282:远程代码执行漏洞
CVE-2025-0282 是 Ivanti Connect Secure、Policy Secure 和 Ivanti Neurons for ZTA 网关之前版本(之前版本 22.7R2.5、22.7R1.2 和 22.7R2.3)的一个栈溢出漏洞。这一漏洞允许未经身份验证的远程攻击者执行远程代码,从而控制受影响设备。该漏洞被评估为 CVSS 分数 9.0,属于严重类别。
由于受影响设备通常位于网络边缘,攻击者可以通过扫描和直接攻击这些设备来利用这一漏洞。如果攻击者成功利用这一漏洞,他们可以在内部网络后方建立初始的攻击据点,然后横向移动到后续系统中。
CVE-2025-0283:权限提升漏洞
CVE-2025-0283 是 Ivanti Connect Secure、Policy Secure 和 Ivanti Neurons for ZTA 网关之前版本(之前版本 22.7R2.5、22.7R1.2 和 22.7R2.3)的另一个栈溢出漏洞。这一漏洞允许本地已验证的攻击者提升其权限。该漏洞被评估为 CVSS 分数 7.0,属于高风险类别。
目前还没有任何报告表明攻击者正在利用这一权限提升漏洞。
攻击活动和工具
在最近的一次事件响应活动中,我们观察到攻击者可能利用了 CVE-2025-0282 的零日漏洞,通过公共面向 Ivanti Connect Secure (ICS) VPN 设备的漏洞进行初始访问。在 debug.log 文件中,我们发现了多次无效 IFT 包错误,这表明攻击者尝试多次利用这一漏洞。
攻击者使用了一个自定义的 Perl 脚本 ldap.pl 来收集 Ivanti 设备上的凭据,并通过 RDP 进行横向移动。在横向移动过程中,他们使用了一个名为 package.dll 的内存dump工具来潜在地dump LSASS 进程以获取凭据。
防御措施和指南
Ivanti 已经发布了安全更新来修复这些 RCE 和权限提升漏洞。Ivanti 建议尽快应用这些更新,并且持续监控其 Integrity Checker Tool (ICT) 检测任何异常活动。
Palo Alto Networks 的客户可以利用以下产品和服务来识别和防御这些威胁:
- Cortex Xpanse:可以识别公共面向的 Connect Secure、Policy Secure 和 ZTA 网关产品,并将这些发现转发给防御者。
- Next-Generation Firewall with Advanced Threat Prevention:可以通过特定威胁预防签名(95948)阻止攻击。
- Cloud-Delivered Security Services:包括 Advanced WildFire 机器学习模型和 URL 过滤功能来识别和阻止相关活动。
如果您认为自己可能已经被破坏或有紧急问题,请联系 Unit 42 事件响应团队或拨打以下电话:
- 北美:+1 (866) 486-4842
- 英国:+44.20.3743.3660
- 欧洲和中东:+31.20.299.3130
- 亚洲:+65.6983.8730
- 日本:+81.50.1790.0200
- 澳大利亚:+61.2.4062.7950
- 印度:00080005045107
我们已将我们的发现与 Cyber Threat Alliance (CTA) 成员分享。CTA 成员使用这些信息快速部署保护措施,并系统性地破坏恶意网络行为。
指纹标识
| 指纹标识 | 数据 | 备注 |
|---|---|---|
| IPV4 | 185.219.141[.]95 | Nord VPN 节点在 debug.log 文件中观察到 |
| IPV4 | 185.195.71[.]244 | Tor 退出节点在 debug.log 文件中观察到 |
| IPV4 | 193.149.180[.]128 | C2 地址 |
| IPV4 | 168.100.8[.]144 | C2 地址 |
| SHA256 | 7144B8C77D261985205AE2621EB6242F43D6244E18B8D01D05048337346B6EFD | ldap.pl 文件 |
| SHA256 | AAE291AC5767CFE93676DACB67BA50C98D8FD520F5821FB050FD63E38B000B18 | 潜在的 SPAWNMOLE 病毒 |
| SHA256 | 366635c00b8e6f749a4d948574a0f1e7b4c842ca443176de27af45debbc14f71 | 潜在的 SPAWNSNAIL 病毒 |
| SHA256 | 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104 | 潜在的 SPAWNSLOTH 病毒 |
| SHA256 | 43363AA0D1FDAB0174D94BD5A9E16D47CBB08B4B089C5A12E370133AB8E640A6 | vixDisklib.dll |
| SHA256 | 1dc0a3a5904ec35103538a018ef069fbe95b0a3c26cb0ff9ba0d1c268d1aaf98 | package.dll |
| SHA256 | f9ca95119b32a18491e3cc28c7020ee00f6e7a45ae089c876d87252e754e5a2e | error.dat |
| SHA256 | 723711ccbb3eaf1daea3d5b00aa6aaee48a359be395d9500d8a56609ec5238e9 | msbuild.lnk |
| SHA256 | 75a3d53c1d63ecb338d4b2d6f5b3d980b0caceb77808ed81ab73b49138cc0a26 | mini.xml |
| SHA256 | a6b24fcef2e018c9ef634aa21e26a74ff94ea508a8b132fad38d48f5ab10fcd3 | deelevator64.dll |
这些指纹标识将有助于识别和防御相关活动。我们将继续监控并更新有关此漏洞的更多信息,以确保您的网络安全。