CVE-2025-1108:了解 Ivanti Connect Secure 和 Policy Secure 的新漏洞

Ivanti 最近发布了一个安全公告,披露了其 Connect Secure 和 Policy Secure 产品中存在的两个严重漏洞,分别为 CVE-2025-0282 和 CVE-2025-0283。这些漏洞主要影响 Ivanti 的 ZTA 网关产品,包括 Connect Secure、Policy Secure 和 Ivanti Neurons for ZTA 网关。

CVE-2025-0282:远程代码执行漏洞

CVE-2025-0282 是 Ivanti Connect Secure、Policy Secure 和 Ivanti Neurons for ZTA 网关之前版本(之前版本 22.7R2.5、22.7R1.2 和 22.7R2.3)的一个栈溢出漏洞。这一漏洞允许未经身份验证的远程攻击者执行远程代码,从而控制受影响设备。该漏洞被评估为 CVSS 分数 9.0,属于严重类别。

由于受影响设备通常位于网络边缘,攻击者可以通过扫描和直接攻击这些设备来利用这一漏洞。如果攻击者成功利用这一漏洞,他们可以在内部网络后方建立初始的攻击据点,然后横向移动到后续系统中。

CVE-2025-0283:权限提升漏洞

CVE-2025-0283 是 Ivanti Connect Secure、Policy Secure 和 Ivanti Neurons for ZTA 网关之前版本(之前版本 22.7R2.5、22.7R1.2 和 22.7R2.3)的另一个栈溢出漏洞。这一漏洞允许本地已验证的攻击者提升其权限。该漏洞被评估为 CVSS 分数 7.0,属于高风险类别。

目前还没有任何报告表明攻击者正在利用这一权限提升漏洞。

攻击活动和工具

在最近的一次事件响应活动中,我们观察到攻击者可能利用了 CVE-2025-0282 的零日漏洞,通过公共面向 Ivanti Connect Secure (ICS) VPN 设备的漏洞进行初始访问。在 debug.log 文件中,我们发现了多次无效 IFT 包错误,这表明攻击者尝试多次利用这一漏洞。

攻击者使用了一个自定义的 Perl 脚本 ldap.pl 来收集 Ivanti 设备上的凭据,并通过 RDP 进行横向移动。在横向移动过程中,他们使用了一个名为 package.dll 的内存dump工具来潜在地dump LSASS 进程以获取凭据。

防御措施和指南

Ivanti 已经发布了安全更新来修复这些 RCE 和权限提升漏洞。Ivanti 建议尽快应用这些更新,并且持续监控其 Integrity Checker Tool (ICT) 检测任何异常活动。

Palo Alto Networks 的客户可以利用以下产品和服务来识别和防御这些威胁:

  • Cortex Xpanse:可以识别公共面向的 Connect Secure、Policy Secure 和 ZTA 网关产品,并将这些发现转发给防御者。
  • Next-Generation Firewall with Advanced Threat Prevention:可以通过特定威胁预防签名(95948)阻止攻击。
  • Cloud-Delivered Security Services:包括 Advanced WildFire 机器学习模型和 URL 过滤功能来识别和阻止相关活动。

如果您认为自己可能已经被破坏或有紧急问题,请联系 Unit 42 事件响应团队或拨打以下电话:

  • 北美:+1 (866) 486-4842
  • 英国:+44.20.3743.3660
  • 欧洲和中东:+31.20.299.3130
  • 亚洲:+65.6983.8730
  • 日本:+81.50.1790.0200
  • 澳大利亚:+61.2.4062.7950
  • 印度:00080005045107

我们已将我们的发现与 Cyber Threat Alliance (CTA) 成员分享。CTA 成员使用这些信息快速部署保护措施,并系统性地破坏恶意网络行为。

指纹标识

指纹标识 数据 备注
IPV4 185.219.141[.]95 Nord VPN 节点在 debug.log 文件中观察到
IPV4 185.195.71[.]244 Tor 退出节点在 debug.log 文件中观察到
IPV4 193.149.180[.]128 C2 地址
IPV4 168.100.8[.]144 C2 地址
SHA256 7144B8C77D261985205AE2621EB6242F43D6244E18B8D01D05048337346B6EFD ldap.pl 文件
SHA256 AAE291AC5767CFE93676DACB67BA50C98D8FD520F5821FB050FD63E38B000B18 潜在的 SPAWNMOLE 病毒
SHA256 366635c00b8e6f749a4d948574a0f1e7b4c842ca443176de27af45debbc14f71 潜在的 SPAWNSNAIL 病毒
SHA256 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104 潜在的 SPAWNSLOTH 病毒
SHA256 43363AA0D1FDAB0174D94BD5A9E16D47CBB08B4B089C5A12E370133AB8E640A6 vixDisklib.dll
SHA256 1dc0a3a5904ec35103538a018ef069fbe95b0a3c26cb0ff9ba0d1c268d1aaf98 package.dll
SHA256 f9ca95119b32a18491e3cc28c7020ee00f6e7a45ae089c876d87252e754e5a2e error.dat
SHA256 723711ccbb3eaf1daea3d5b00aa6aaee48a359be395d9500d8a56609ec5238e9 msbuild.lnk
SHA256 75a3d53c1d63ecb338d4b2d6f5b3d980b0caceb77808ed81ab73b49138cc0a26 mini.xml
SHA256 a6b24fcef2e018c9ef634aa21e26a74ff94ea508a8b132fad38d48f5ab10fcd3 deelevator64.dll

这些指纹标识将有助于识别和防御相关活动。我们将继续监控并更新有关此漏洞的更多信息,以确保您的网络安全。