日本组织仍受Ivanti漏洞困扰：六个月后未修复的威胁

中国威胁组织持续利用自1月份已知的Ivanti远程代码执行（RCE）漏洞，部分原因是修补过程的复杂性。

来源：Kristoffer Tripplaar via Alamy Stock Photo

旧的Ivanti漏洞使中国威胁组织在过去八个月中持续攻击日本组织。

近年来，IT服务公司Ivanti因其流行的终端产品不断发现新漏洞而饱受负面报道。这些漏洞导致了无数网络入侵事件，包括一些知名组织。在某些情况下，Ivanti坎坷的修补过程本身也成为头条新闻。然而，所有问题最终都会得到修复，并且这些修复会分发给客户。

但只能引马到水边。今年年初，该公司披露了两个严重的缓冲区溢出漏洞，这些漏洞在其基于安全套接字层的虚拟专用网络（SSL VPN）产品Connect Secure中启用了远程代码执行（RCE）。它们是CVE-2025-0282（在通用漏洞评分系统（CVSS）中获得了“严重”的9.0分）和CVE-2025-22457（“严重”的9.8分）。值得注意的是，后一个问题也影响了旧的、已终止支持（EOL）版本的Connect Secure。

尽管补丁已可用，日本计算机应急响应团队协调中心（JPCERT/CC）的研究人员——一个自称日本“CSIRT的CSIRT”的独立非营利组织——仍然看到日本组织通过这些漏洞遭受不断演变、蓬勃发展的攻击。

相关：复杂的Shuyal窃取器针对19种浏览器，展示高级规避

日本的Ivanti攻击

在日本，利用CVE-2025-0282和CVE-2025-22457的最早证据可以追溯到2024年12月，当时它们还是零日漏洞。在一次持续到1月的活动中，威胁组织UNC5221使用这些零日漏洞获得对目标网络的初始访问，主要通过使用名为“SpawnChimera”的工具。

SpawnChimera是“Spawn”恶意软件家族的衍生品，结合了SpawnAnt、SpawnMole和SpawnSnail的功能。它还包括一些新增的隐身功能，包括一个讽刺性地修补CVE-2025-0282的函数，以防止其他攻击者通过UNC5221使用的同一扇门进入。

在同一时期，JPCERT/CC还注意到CVE-2025-0282被一个名为“DslogdRAT”的工具利用。通过Web shell初始感染后，DslogdRAT生成多个进程以保持持久性。它配置为仅在一天中的特定时间运行——与目标地区的正常工作时间流量混合——并允许攻击者对目标系统进行指纹识别、上传或下载文件、执行shell命令等。

相关：勒索软件行为者堆积’ToolShell’ SharePoint漏洞

研究人员无法确定此活动是否与UNC5221的SpawnChimera活动重叠，但指出感染DslogdRAT的系统也感染了Spawn家族恶意软件“SpawnSnare”。

在3月和4月，研究人员观察到另一个针对CVE-2025-22457的UNC5221活动。

正如JPCERT/CC全球协调部门主任小宫山浩一郎解释的那样，UNC5221在其攻击中的角色似乎以实现初始访问结束。取证证据表明，在活动的那一点之后，它会将访问权传递给另一个负责横向移动的威胁行为者。此后，横向移动持续了数月。

这种横向移动向受感染系统引入了三个新的恶意软件——定制的开源（OSS）工具，包括“MDifyLoader”，一个充满垃圾代码的加载器，在内存中执行定制的Cobalt Strike Beacon有效载荷。MDifyLoader基于开源（OSS）程序“libpeconv”。

第二个是“Fscan”，一个用Golang编写的网络扫描工具，是“FilelessRemotePE”程序的分支。在JPCERT/CC观察到的攻击中，Fscan的专用加载器使用了一种绕过Windows事件跟踪（ETW）的技术，以盲化端点检测和响应（EDR）及其他安全工具对其存在的检测。第三个是“vshell”，一个也用Golang编写的多平台远程访问特洛伊木马（RAT）。vshell的一个显著组件是其中文检查，可能暗示其起源和开发者的意图。

除了这种长尾的利用后活动，CVE-2025-0282和CVE-2025-22457仍在被积极利用。

相关：Lumma窃取器回归且比以往更隐蔽

修复Connect Secure的难题

日本是Ivanti技术最普遍的国家之一。例如：在CVE-2025-22457首次发现时，ShadowServer扫描显示，易受攻击的Connect Secure设备最大集中地在美国（852台）。然而，第二位是日本（384台）。

今天的同一扫描显示，美国仍有540台设备易受攻击——五个月内下降了，虽然令人失望但并非微不足道。但在日本，情况要糟糕得多：在发布时，384台设备中的327台仍未修复。

其原因比简单的疏忽更微妙。CVE-2025-0282仅影响Connect Secure版本22.x及更高版本，而CVE-2025-22457影响22.x和版本9.1x（前身为Pulse Connect Secure）。

在新年之交，2024年12月31日，Ivanti终止了对Connect Secure 9.1x（前身为Pulse Connect Secure）的支持，倾向于22.x，该版本具有显著的安全升级，优于不断出现漏洞的先前版本。因此，易受CVE-2025-22457影响的公司只需要升级，对吗？

但并非那么容易。新系统建立在更新的Linux内核上，而运行先前版本的先前Pulse Secure设备（PSA） simply lacked the CPU for。因此，解决该漏洞要求客户拆除并更换其设备，或通过Ivanti Neurons for Zero Trust Access（ZTA）迁移到云端。

“因此，许多组织无法获得供应商支持来应用补丁或进行与CVE-2025-22457相关的取证调查，”小宫山解释说。他补充说，“在日本，组织将网络设备的管理外包给第三方IT服务提供商是常见做法，”可能加剧了问题。

阅读更多关于：DR Global Asia Pacific

关于作者

Nate Nelson, Contributing Writer Nate Nelson是一位驻纽约市的作家。他曾在Threatpost担任记者，并撰写了“Malicious Life”，一个在Apple和Spotify上获奖的Top 20科技播客。在Dark Reading之外，他还共同主持“The Industrial Security Podcast”。

查看更多来自Nate Nelson, Contributing Writer

保持最新网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

更多见解

网络研讨会 解决ICS/OT修补和漏洞管理难题 2025年7月29日创建更有效安全合作伙伴关系的路线图 2025年8月13日更多网络研讨会

活动 [虚拟活动] 现代企业的战略安全 2025年6月25日 [虚拟活动] 数据泄露剖析 2025年6月17日 [会议] Black Hat USA - 8月2-7日 - 了解更多 2025年8月1日更多活动

您可能还喜欢 终端安全 HP将量子安全加密引入打印机终端安全 GitHub托管的恶意软件感染100万Windows用户终端安全 Intel将新vPro芯片映射到MITRE的ATT&CK框架终端安全 NIST发布3个后量子标准，敦促组织开始PQC之旅

编辑选择 一群人学习网络安全操作网络职业机会：权衡认证与学位网络职业机会：权衡认证与学位 by Kristina Beek, Tara Seals 2025年7月25日

火蚁特写漏洞与威胁 ‘火蚁’网络间谍破坏隔离的VMware系统 ‘火蚁’网络间谍破坏隔离的VMware系统 by Rob Wright 2025年7月25日 5分钟阅读

网络研讨会 解决ICS/OT修补和漏洞管理难题 2025年7月29日创建更有效安全合作伙伴关系的路线图 2025年8月13日更多网络研讨会

白皮书 MDR神话终结者：分离关于MDR的事实与虚构 XSIAM买家指南：如何为AI时代转型您的SOC Prisma Access浏览器：SASE的重要组成部分 SOC转型的5个基本步骤 XSIAM信息图：谈论一场革命更多白皮书

活动 [虚拟活动] 现代企业的战略安全 2025年6月25日 [虚拟活动] 数据泄露剖析 2025年6月17日 [会议] Black Hat USA - 8月2-7日 - 了解更多 2025年8月1日更多活动

发现更多 Black Hat Omdia 与我们合作关于我们广告重印加入我们新闻通讯注册关注我们

版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营，它是全球网络的一部分，该网络 informs, influences and connects the world’s technology buyers and sellers。所有版权归他们所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。

首页|Cookie政策|隐私|使用条款

Cookies按钮关于本网站的Cookies 我们和我们的合作伙伴使用cookies来增强您的网站体验，了解我们的网站如何使用，提供个性化功能，衡量我们服务的有效性，并在您浏览网页或跨设备与我们互动时根据您的兴趣定制内容和广告。点击“继续”或继续浏览我们的网站，即表示您同意我们和我们的合作伙伴使用cookies。更多信息见隐私政策继续 Cookie政策当您访问任何网站时，它可能会在您的浏览器上存储或检索信息， mostly in the form of cookies。此信息可能关于您、您的偏好或您的设备， mostly used to make the site work as you expect it to。该信息通常不会直接识别您，但可以给您更个性化的网页体验。因为我们尊重您的隐私权，您可以选择不允许某些类型的cookies。点击不同的类别标题以了解更多并更改我们的默认设置。然而，阻止某些类型的cookies可能会影响您对网站的体验和我们能够提供的服务。更多信息允许所有管理同意偏好严格必要的Cookies 始终激活这些cookies对于网站功能是必要的， cannot be switched off in our systems。它们通常仅在您采取相当于请求服务的行动时设置，例如设置您的隐私偏好、登录或填写表格。您可以将浏览器设置为阻止或提醒您这些cookies，但网站的某些部分将无法工作。这些cookies不存储任何个人可识别信息。性能Cookies 始终激活这些cookies允许我们计算访问量和流量来源，以便我们可以衡量和改进我们网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎，并查看访问者如何在网站上移动。所有这些cookies收集的信息都是汇总的，因此是匿名的。如果您不允许这些cookies，我们将不知道您何时访问了我们的网站，并且无法监控其性能。功能Cookies 始终激活这些cookies使网站能够提供增强的功能和个性化。它们可能由我们或我们添加到页面的第三方提供商设置。如果您不允许这些cookies，那么这些服务中的一些或全部可能无法正常工作。定向Cookies 始终激活这些cookies可能由我们的广告合作伙伴通过我们的网站设置。它们可能被那些公司用来构建您的兴趣档案，并在其他网站上向您显示相关广告。它们不直接存储个人信息，但基于唯一标识您的浏览器和互联网设备。如果您不允许这些cookies，您将体验较少的定向广告。后退按钮 Cookie列表搜索图标过滤器图标清除复选框标签标签应用取消同意合法利益复选框标签标签复选框标签标签复选框标签标签确认我的选择