CTI-Guided Attack Surface Response to Ivanti VPN Vulnerability (CVE-2025–22457)
Criminal IP
5 min read · Apr 24, 2025
50
Listen
Share
点击或按回车查看完整图片
CTI引导下的Ivanti VPN漏洞攻击面响应
Ivanti已发布补丁,修复一个被标识为CVE-2025–22457的严重漏洞,该漏洞影响其多款安全产品,包括Ivanti Connect Secure、Pulse Connect Secure、Ivanti Policy Secure和ZTA Gateways。此栈缓冲区溢出漏洞可导致未认证远程代码执行(RCE),CVSS评分为9.0,反映其严重性。根据Mandiant和Google威胁情报组(GTIG)的信息,截至2025年3月,该漏洞已被中国威胁行为体组织UNC5221积极利用,进一步放大了风险。本文探讨受影响版本、潜在影响,以及基于威胁情报的监控与防御策略。
VPN漏洞CVE-2025–22457概述
CVE-2025–22457是一个影响Ivanti Connect Secure、Policy Secure和ZTA Gateways的栈缓冲区溢出漏洞。攻击者可通过发送特制的HTTP请求,其中包含一个超长的X-Forwarded-For头部,触发溢出并实现远程代码执行(RCE)。该漏洞于4月3日披露,据报道已被中国威胁组织UNC5221利用来传播恶意软件。
该漏洞最初于2025年2月在Ivanti Connect Secure版本22.7R2.6中发现。当时它被认为是一个低风险的拒绝服务(DoS)漏洞,并迅速发布了补丁。然而,威胁行为者后来分析了该补丁,并将其武器化为RCE漏洞。Ivanti随后将其披露为CVE-2025–22457。发布后不久,CISA将其纳入已知被利用漏洞(KEV)目录,并建议立即采取行动。
Connect Secure的补丁已可用,而Policy Secure和ZTA Gateways的更新计划分别于4月19日和4月20日发布。因此,强烈建议使用受影响Ivanti设备的组织立即应用补丁,并持续监控其外部攻击面。
受影响版本
- Ivanti Connect Secure: 22.7R2.5及更早版本
- Pulse Connect Secure (EoS): 9.1R18.9及更早版本
- Ivanti Policy Secure: 22.7R1.3及更早版本
- ZTA Gateways: 22.8R2及更早版本
CVE-2025–22457的安全威胁
利用此漏洞可能导致严重后果:
- 无需认证的远程代码执行(RCE)
攻击者仅需一个恶意HTTP请求即可在服务器上执行任意代码,无需认证。 - 恶意软件分发点
Ivanti设备可能被用作恶意软件的分发点。 - 部署自定义后门和Rootkit
中国APT组织UNC5221有部署后门的历史记录,用于日志操作、数据泄露和植入额外恶意软件。 - 攻击面扩展
对外暴露的Ivanti设备可用作内部网络横向移动、凭据窃取和数据泄露的入口点。 - 威胁零信任模型
即使是ZTA Gateway等现代零信任安全设备也受此漏洞影响,意味着最后一道防线可能被攻破。 - 补丁延迟导致的持续暴露
据信攻击者甚至在官方补丁发布之前就通过逆向工程将该漏洞武器化为RCE漏洞。未及时打补丁或监控的系统可能持续面临威胁。
鉴于潜在影响的严重性,用户必须及时应用补丁并持续监控其攻击面,以降低与CVE-2025–22457相关的风险。
基于CTI的攻击面监控:暴露的Ivanti Connect Secure检测
可使用Criminal IP资产搜索快速识别公网可访问的Ivanti Connect Secure设备。
Criminal IP搜索查询:
title: "Pulse Connect Secure"
www.criminalip.io/asset/searc…
点击或按回车查看完整图片
截至2025年4月15日,共有1,350个Pulse Connect Secure实例暴露在互联网上。Pulse Connect Secure不仅受CVE-2025–22457影响,而且还是Ivanti已停止支持的服务。因此,尽快迁移到最新版本的Ivanti Connect Secure至关重要。继续使用不受支持的版本意味着不会为新发现的漏洞提供补丁,从而显著增加前述安全威胁的可能性。
Criminal IP搜索查询:
title: "Ivanti Connect Secure"
www.criminalip.io/asset/searc…
点击或按回车查看完整图片
截至2025年4月15日,超过190,000个Ivanti Connect Secure实例暴露在互联网上。由于它本质上是一个VPN解决方案,预计大量Ivanti设备是公网可访问的。然而,其中许多IP被发现存在多个漏洞。在一个案例中,一个IP被发现有多达132个CVE。单个IP上发现132个CVE表明补丁工作被严重忽视,从攻击者的角度来看,这种环境提供了众多可利用的机会——因此极易受到攻击。
点击或按回车查看完整图片
一个检测到132个漏洞的IP地址连接到Ivanti Connect Secure
结论
Ivanti VPN漏洞CVE-2025–22457是一个严重的安全问题,可能威胁到整个企业网络的安全。特别是考虑到这些设备用于远程访问的特性,哪怕遗漏一个补丁都可能成为APT组织的目标。事实上,在暴露于互联网的Ivanti设备中,已发现存在超过100个漏洞(CVE)的案例,如果不及早处理,攻击者可能利用它们绕过认证、植入恶意软件并渗透内部网络,导致广泛的组织损害。因此,组织必须立即应用补丁、管理攻击面、进行ICT完整性检查、基于CTI检测威胁、识别暴露资产并加强访问控制,以主动应对。特别是那些继续使用Pulse Connect Secure等已停止支持(EoS)产品的组织,应紧急迁移到最新版本的Ivanti Connect Secure。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyG2J/eZmqXfkZzek/nc+HesgA1wd+lPgNS/HYDTOmFMELcnXmBdK1FltMEebIcY/J8cyFBkxlXU8cefMpyTRgF2gTFzPNLpRFDafgVQc47084T51qWvJWwsDSzYNk1uEIM=
