Ivanti产品多重漏洞可能导致远程代码执行

MS-ISAC 咨询编号： 2025-084
发布日期： 2025年9月9日

概述

在Ivanti产品中发现了多个漏洞，其中最严重的漏洞可能允许远程代码执行。Ivanti终端管理器是基于客户端的统一终端管理软件；Ivanti连接安全是为远程和移动用户提供的SSL VPN解决方案；Ivanti策略安全是一种网络访问控制解决方案，仅向授权和安全用户和设备提供网络访问；Ivanti零信任访问网关使用零信任原则安全地将设备连接到Web应用程序。

成功利用这些漏洞中最严重的漏洞可能允许在系统上下文中执行远程代码。根据与系统相关的权限，攻击者可以安装程序；查看、更改或删除数据。在系统上配置具有较少用户权限的用户帐户的影响可能比使用管理用户权限操作的用户小。

威胁情报

在披露时，Ivanti未发现任何客户遭受这些漏洞的攻击。

受影响系统

Ivanti终端管理器 2022 SU8 安全更新1及更早版本
Ivanti终端管理器 2024 SU3及更早版本
Ivanti连接安全 22.7R2.8及更早版本
Ivanti策略安全 22.7R1.4及更早版本
ZTA网关 22.8R2.2
安全访问神经元 22.8R1.3及更早版本

风险等级

政府：

大型和中型政府实体：高
小型政府实体：高

企业：

大型和中型企业实体：高
小型企业实体：中

家庭用户： 低

技术详情

在Ivanti产品中发现了多个漏洞，其中最严重的漏洞可能允许远程代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001） 技术：利用面向公众的应用程序（T1190）：

Ivanti终端管理器在2024 SU3安全更新1和2022 SU8安全更新2之前的版本中存在文件名验证不足，允许远程未经身份验证的攻击者实现远程代码执行。需要用户交互。（CVE-2025-9712、CVE-2025-9872）

较低严重性漏洞详情：

在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关22.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）缺少授权，允许具有只读管理员权限的远程认证攻击者配置受限设置（CVE-2025-8712、CVE-2025-55148、CVE-2025-55144）
在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关2.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）存在CSRF，允许远程未经身份验证的攻击者以受害者用户身份执行有限操作。需要用户交互。（CVE-2025-8711）
在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关2.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）缺少授权，允许远程认证攻击者劫持现有的HTML5连接。（CVE-2025-55145）
在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关2.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）存在未检查的返回值，允许具有管理员权限的远程认证攻击者触发拒绝服务。（CVE-2025-55146）
在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关2.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）存在CSRF，允许远程未经身份验证的攻击者以受害者用户身份执行敏感操作。需要用户交互。（CVE-2025-55147）
在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关2.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）存在SSRF，允许具有管理员权限的远程认证攻击者枚举内部服务。（CVE-2025-55139）
在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关2.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）缺少授权，允许具有只读管理员权限的远程认证攻击者配置身份验证相关设置。（CVE-2025-55141、CVE-2025-55142）
在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关2.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署）存在反射文本注入，允许远程未经身份验证的攻击者将任意文本注入精心制作的HTTP响应中。需要用户交互。（CVE-2025-55143）

成功利用这些漏洞中最严重的漏洞可能允许在系统上下文中执行远程代码。根据与系统相关的权限，攻击者可以安装程序；查看、更改或删除数据。

建议措施

我们建议采取以下行动：

经过适当测试后立即将Ivanti提供的适当更新应用于易受攻击的系统。（M1051：更新软件）
将所有系统和服务应用最小权限原则。以非特权用户（没有管理权限的用户）身份运行所有软件，以减少成功攻击的影响。（M1026：特权帐户管理）
使用漏洞扫描来查找潜在可利用的软件漏洞并进行修复。（M1016：漏洞扫描）
构建网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问潜在敏感系统和信息。使用DMZ来包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云实例以隔离关键云系统。（M1030：网络分段）
使用功能来检测和阻止可能导致或表明软件利用发生的条件。（M1050：利用保护）

具体安全防护措施

防护措施7.1： 建立和维护企业资产的漏洞管理流程：建立和维护企业资产的文档化漏洞管理流程。每年或在发生可能影响此防护措施的重大企业变更时审查和更新文档。

防护措施7.2： 建立和维护修复流程：建立和维护基于风险的修复策略，记录在修复流程中，每月或更频繁地进行审查。

防护措施7.4： 执行自动化应用程序补丁管理：通过自动化补丁管理每月或更频繁地对企业资产执行应用程序更新。

防护措施7.5： 执行内部企业资产的自动化漏洞扫描：每季度或更频繁地执行内部企业资产的自动化漏洞扫描。使用符合SCAP的漏洞扫描工具进行认证和非认证扫描。

防护措施7.7： 修复检测到的漏洞：根据修复流程，每月或更频繁地通过流程和工具修复软件中检测到的漏洞。

防护措施12.1： 确保网络基础设施是最新的：确保网络基础设施保持最新。示例实现包括运行最新稳定版本的软件和/或使用当前支持的网络即服务产品。每月或更频繁地审查软件版本以验证软件支持。

防护措施12.2： 建立和维护安全的网络架构：建立和维护安全的网络架构。安全的网络架构必须至少解决分段、最小权限和可用性。

防护措施18.1： 建立和维护渗透测试程序：建立和维护适合企业规模、复杂性和成熟度的渗透测试程序。

防护措施18.2： 执行定期外部渗透测试：根据程序要求执行定期外部渗透测试，不少于每年一次。

防护措施18.3： 修复渗透测试发现：根据企业的修复范围和优先级策略修复渗透测试发现。

防护措施4.7： 管理企业资产和软件上的默认帐户：管理企业资产和软件上的默认帐户，例如root、administrator和其他预配置的供应商帐户。

防护措施5.5： 建立和维护服务帐户清单：建立和维护服务帐户清单。

防护措施10.5： 启用防利用功能：尽可能在企业资产和软件上启用防利用功能。

防护措施16.13： 执行应用程序渗透测试：执行应用程序渗透测试。

参考链接

CVE：

Ivanti：