Ivanti产品远程代码执行漏洞分析

MS-ISAC 公告编号：2025-034
发布日期：2025年4月3日

概述

在Ivanti Connect Secure、Policy Secure和ZTA Gateways中发现了一个漏洞，可能允许远程代码执行。Ivanti Connect Secure（前身为Pulse Connect Secure）是一种广泛部署的SSL VPN解决方案，为远程和移动用户提供对公司数据和应用程序的安全受控访问，提供单点登录、多因素认证以及与各种安全框架的集成等功能。

Ivanti Policy Secure（IPS）是一种网络访问控制（NAC）解决方案，仅向授权和安全的用户及设备提供网络访问，提供全面的NAC管理、可见性和监控，以保护网络和敏感数据。

Ivanti Neurons for Zero Trust Access（ZTA）Gateway是Ivanti零信任网络访问解决方案的一个组件。

成功利用该漏洞可能允许在系统上下文中执行远程代码。根据与系统相关的权限，攻击者可以安装程序；查看、更改或删除数据。

威胁情报

Ivanti意识到在披露时，已有少数客户的Ivanti Connect Secure（22.7R2.5或更早版本）和已停止支持的Pulse Connect Secure 9.1x设备遭到利用。

受影响系统

• Pulse Connect Secure 9.1R18.9及更早版本（EOS）
• Ivanti Connect Secure 22.7R2.5及更早版本
• Ivanti Policy Secure 22.7R1.3及更早版本
• ZTA Gateways 22.8R2及更早版本

风险等级

• 政府机构：
  • 大型和中型政府实体：高
  • 小型政府实体：中
• 企业：
  • 大型和中型企业实体：高
  • 小型企业实体：中
• 家庭用户：低

技术摘要

在Ivanti Connect Secure、Policy Secure和ZTA Gateways中发现了一个漏洞，可能允许远程代码执行。漏洞详情如下：

策略：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

Ivanti Connect Secure 22.7R2.6之前版本、Ivanti Policy Secure 22.7R1.4之前版本以及Ivanti ZTA Gateways 22.8R2.2之前版本中存在栈缓冲区溢出漏洞，允许远程未经身份验证的攻击者实现远程代码执行。（CVE-2025-22457）

成功利用该漏洞可能允许在系统上下文中执行远程代码。根据与系统相关的权限，攻击者可以安装程序；查看、更改或删除数据。

修复建议

我们建议采取以下措施：

1. 立即应用更新：在适当测试后，立即为易受攻击的系统应用Ivanti提供的适当更新。（M1051：更新软件）

   • 保障措施7.1：建立和维护企业资产的漏洞管理流程。每年审查和更新文档，或在发生可能影响此保障措施的重大企业变更时进行更新。
   • 保障措施7.2：建立和维护基于风险的修复策略，记录在修复流程中，每月或更频繁地审查。
   • 保障措施7.4：通过自动补丁管理每月或更频繁地对企业资产执行应用程序更新。
   • 保障措施7.5：每季度或更频繁地对内部企业资产执行自动漏洞扫描。使用符合SCAP的漏洞扫描工具进行身份验证和非身份验证扫描。
   • 保障措施7.7：根据修复流程，每月或更频繁地通过流程和工具修复检测到的软件漏洞。
   • 保障措施12.1：确保网络基础设施保持最新。示例实现包括运行最新稳定版本的软件和/或使用当前支持的网络即服务（NaaS）产品。每月或更频繁地审查软件版本以验证软件支持。
   • 保障措施18.1：建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围（如网络、Web应用程序、API、托管服务和物理场所控制）、频率、限制（如可接受时间和排除的攻击类型）、联系信息、修复（如如何内部路由发现）以及回顾性要求。
   • 保障措施18.2：根据计划要求执行定期外部渗透测试，至少每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验，必须通过合格方进行。测试可以是白盒或黑盒。
   • 保障措施18.3：根据企业的修复范围和优先级政策修复渗透测试发现。

2. 应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户（无管理权限）身份运行所有软件，以减少成功攻击的影响。（M1026：特权账户管理）

   • 保障措施4.7：管理企业资产和软件上的默认账户，如root、administrator和其他预配置的供应商账户。示例实现包括禁用默认账户或使其无法使用。
   • 保障措施5.5：建立和维护服务账户清单。清单至少必须包含部门所有者、审查日期和目的。至少每季度或更频繁地执行服务账户审查，以验证所有活动账户均已授权。

3. 漏洞扫描：使用漏洞扫描来发现潜在可利用的软件漏洞并进行修复。（M1016：漏洞扫描）

   • 保障措施16.13：执行应用程序渗透测试。对于关键应用程序，身份验证的渗透测试比代码扫描和自动安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试员的技能，以身份验证和非身份验证用户身份手动操作应用程序。

4. 网络分段：架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问潜在敏感系统和信息。使用DMZ容纳任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统。（M1030：网络分段）

   • 保障措施12.2：建立和维护安全的网络架构。安全的网络架构必须至少解决分段、最小权限和可用性。

5. 利用保护：使用功能检测和阻止可能导致或指示软件利用发生的条件。（M1050：利用保护）

   • 保障措施10.5：在可能的情况下，在企业资产和软件上启用反利用功能，如Microsoft®数据执行保护（DEP）、Windows® Defender Exploit Guard（WDEG）或Apple®系统完整性保护（SIP）和Gatekeeper™。

参考资料

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-22457
• Ivanti：https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US