CVE-2025-22457：Critical Ivanti Connect Secure Vulnerability

2025年4月4日 KS威胁研究咨询、安全咨询

摘要

2025年4月3日，Ivanti披露了CVE-2025-22457，该漏洞影响Ivanti Connect Secure VPN设备、Pulse Connect Secure（已终止服务）、Ivanti Policy Secure和ZTA网关。漏洞需要网络访问受影响设备。CVE-2025-22457是一个缓冲区溢出漏洞，若被成功利用，可导致远程代码执行。这是一个高危漏洞，自3月中旬以来已在野外观察到部分利用；但利用仅针对Ivanti Connect Secure和Pulse Connect Secure 9.1x（当前已终止服务）。早期归因指向主要由中国关联的间谍组织UNC5221进行，该组织以利用边缘设备零日漏洞而闻名。Ivanti鼓励所有运行受影响版本的用户尽快更新。

受影响系统和/或应用程序

技术细节

CVE-2025-22457是一个缓冲区溢出漏洞，当攻击者具有网络访问漏洞设备时执行。该漏洞的补丁最初于2月11日发布；但当时被确定为低风险拒绝服务，因为溢出字符空间有限。此后已升级为高危远程代码执行。Ivanti和Mandiant已能够识别其被公开利用的证据。截至目前，利用仅限于Ivanti Connect Secure（ICS）和Pulse Connect Secure（PCS）。需要注意的是，PCS当前已终止服务，因此无补丁可用，需通过迁移来防护。成功利用后，观察到shell脚本投放器，通常针对运行中的/home/bin/web进程。投放器执行后：文件被创建、执行，然后清理。发现所有行为均为非持久性，导致如果进程或系统重启，投放器需重新执行。

缓解与建议

• 立即升级：升级至以下版本，或对于Pulse Connect Secure，需进行迁移。

  产品名称	已修复版本
  Ivanti Connect Secure	22.7R2.6（2025年2月发布）
  Pulse Connect Secure (EoS)	联系Ivanti迁移，因已终止服务

• 临时缓解：建议将管理接口访问限制为受信任IP，并在可能时作为最佳实践执行。

• 完整性检查工具（ICT）：建议使用ICT查找入侵迹象，并额外检查服务器崩溃。如果发现活动，请联系Ivanti支持。此外，可在设备上执行出厂重置，然后使用版本22.7R2.6重新投入生产。

网络融合中心的行动

CFC将继续监控情况，并在需要时发送咨询更新。需立即采取行动，通过应用补丁、限制访问和增强安全监控来缓解潜在利用。组织应优先考虑这些措施，以保护其边缘设备免受潜在威胁。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后，立即收到扫描范围内发现的关键漏洞的相关结果。

参考

• https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US
• https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability
• https://www.cve.org/CVERecord?id=CVE-2025-22457