多重漏洞在Ivanti产品中可能允许远程代码执行

MS-ISAC咨询编号： 2025-084
发布日期： 2025年9月9日

概述

在Ivanti产品中发现了多个漏洞，其中最严重的可能允许远程代码执行。

• Ivanti端点管理器是基于客户端的统一端点管理软件
• Ivanti连接安全是为远程和移动用户提供的SSL VPN解决方案
• Ivanti策略安全(IPS)是网络访问控制(NAC)解决方案，仅向授权和安全用户和设备提供网络访问
• Ivanti零信任访问(ZTA)网关使用零信任原则安全地将设备连接到Web应用程序，无论是在本地还是在云中

成功利用这些漏洞中最严重的漏洞可能允许在系统上下文中执行远程代码。根据与系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。在系统上配置具有较少用户权限的用户帐户可能比使用管理用户权限操作的用户受影响更小。

威胁情报

在披露时，Ivanti未发现任何客户被这些漏洞利用。

受影响系统

• Ivanti端点管理器 2022 SU8 安全更新1及更早版本
• Ivanti端点管理器 2024 SU3及更早版本
• Ivanti连接安全 22.7R2.8及更早版本
• Ivanti策略安全 22.7R1.4及更早版本
• ZTA网关 22.8R2.2
• 安全访问神经元 22.8R1.3及更早版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：高

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户： 低

技术详情

在Ivanti产品中发现了多个漏洞，其中最严重的可能允许远程代码执行。这些漏洞的详细信息如下：

策略：初始访问(TA0001) 技术：利用面向公众的应用程序(T1190)

Ivanti端点管理器在2024 SU3安全更新1和2022 SU8安全更新2之前的版本中存在文件名验证不足，允许远程未经身份验证的攻击者实现远程代码执行。需要用户交互。(CVE-2025-9712, CVE-2025-9872)

较低严重性漏洞详情：

• 授权缺失：在Ivanti连接安全22.7R2.9或22.8R2之前、Ivanti策略安全22.7R1.6之前、Ivanti ZTA网关22.8R2.3-723之前和Ivanti安全访问神经元22.8R1.4之前（修复于2025年8月2日部署），具有只读管理员权限的远程经过身份验证的攻击者可以配置受限设置(CVE-2025-8712, CVE-2025-55148, CVE-2025-55144)

• CSRF：在相同产品版本中，远程未经身份验证的攻击者可以代表受害用户执行有限操作。需要用户交互。(CVE-2025-8711)

• 授权缺失：在相同产品版本中，远程经过身份验证的攻击者可以劫持现有的HTML5连接。(CVE-2025-55145)

• 未检查返回值：在相同产品版本中，具有管理员权限的远程经过身份验证的攻击者可以触发拒绝服务。(CVE-2025-55146)

• CSRF：在相同产品版本中，远程未经身份验证的攻击者可以代表受害用户执行敏感操作。需要用户交互。(CVE-2025-55147)

• SSRF：在相同产品版本中，具有管理员权限的远程经过身份验证的攻击者可以枚举内部服务。(CVE-2025-55139)

• 授权缺失：在相同产品版本中，具有只读管理员权限的远程经过身份验证的攻击者可以配置身份验证相关设置。(CVE-2025-55141, CVE-2025-55142)

• 反射文本注入：在相同产品版本中，远程未经身份验证的攻击者可以将任意文本注入到精心制作的HTTP响应中。需要用户交互。(CVE-2025-55143)

成功利用这些漏洞中最严重的漏洞可能允许在系统上下文中执行远程代码。根据与系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。

建议措施

我们建议采取以下行动：

1. 应用适当更新：经过适当测试后立即将Ivanti提供的适当更新应用于易受攻击的系统。(M1051：更新软件)

   • 保护措施7.1：建立和维护漏洞管理流程
   • 保护措施7.2：建立和维护修复流程
   • 保护措施7.4：执行自动化应用程序补丁管理
   • 保护措施7.5：执行内部企业资产的自动化漏洞扫描
   • 保护措施7.7：修复检测到的漏洞
   • 保护措施12.1：确保网络基础设施是最新的
   • 保护措施18.1：建立和维护渗透测试程序
   • 保护措施18.2：执行定期外部渗透测试
   • 保护措施18.3：修复渗透测试发现

2. 应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户身份运行所有软件，以减少成功攻击的影响。(M1026：特权账户管理)

   • 保护措施4.7：管理企业资产和软件上的默认账户
   • 保护措施5.5：建立和维护服务账户清单

3. 漏洞扫描：使用漏洞扫描来查找潜在可利用的软件漏洞并进行修复。(M1016：漏洞扫描)

   • 保护措施16.13：执行应用程序渗透测试

4. 网络分段：架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来包含不应从内部网络暴露的任何面向互联网的服务。配置单独的虚拟私有云(VPC)实例以隔离关键云系统。(M1030：网络分段)

   • 保护措施12.2：建立和维护安全网络架构

5. 利用保护：使用功能检测和阻止可能导致或指示软件利用发生的条件。(M1050：利用保护)

   • 保护措施10.5：启用反利用功能

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-9712
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-9872
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-8712
• （其他CVE链接）

Ivanti：

• https://www.ivanti.com/blog/september-2025-security-update
• https://forums.ivanti.com/s/article/Security-Advisory-September-2025-for-Ivanti-EPM-2024-SU3-and-EPM-2022-SU8
• https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs