安全更新：Pulse Connect Secure、Ivanti Connect Secure、Policy Secure和Neurons for ZTA网关

以下内容已更新，明确指出该漏洞已在Ivanti Connect Secure 22.7R2.6版本（2025年2月11日发布）中完全修复。

在Ivanti，我们的使命是在不断演变且日益复杂的威胁环境中赋能客户保护其环境。这包括提供行业领先的产品、透明的通信和先进的工具，以帮助保护和加固网络。这一使命的核心是透明度和响应能力的文化，特别是在面临安全问题时。这对于整个行业和我们服务的组织的健康与安全至关重要。

为此，我们发布了一项重要的安全更新，解决了Pulse Connect Secure（版本9.1x，已于2024年12月31日终止支持）、Ivanti Connect Secure（版本22.7R2.5及更早版本）、Policy Secure和Neurons for ZTA网关中的一个漏洞。我们将该漏洞报告为CVE-2025-22457。

如果客户在受支持的版本上按照Ivanti的指导运行设备，则面临此漏洞的风险将显著降低：

• 此漏洞已在Ivanti Connect Secure 22.7R2.6（2025年2月11日发布）中完全修复。
• Ivanti Policy Secure不应是面向互联网的解决方案。遵循Ivanti关于互联网暴露指导的用户面临此漏洞的风险较低。
• Neurons for ZTA网关在生产环境中无法被利用。

我们了解到有少数客户的设备遭到利用，这些设备运行的是Ivanti Connect Secure 22.7R2.5或更早版本，或Pulse Connect Secure 9.1x。在本次披露时，我们未发现此漏洞在Ivanti Policy Secure或Neurons for ZTA网关中被利用的情况，这些产品面临此漏洞的风险已显著降低。

Pulse Connect Secure 9.1x已于2024年12月31日终止支持，不再接收代码支持或更改。尚未从此解决方案迁移的客户需要联系Ivanti获取迁移路径，迁移至Ivanti Connect Secure或其他安全解决方案，以确保其安全性。Ivanti始终鼓励客户使用最新版本的软件，以便从重要的安全和产品增强功能中受益。

我们已提供额外的资源和支持团队，以帮助客户实施补丁并解决任何问题。有关此漏洞和威胁性质的更多信息，请参阅本安全公告，以便客户保护其环境。

感谢我们的客户和安全合作伙伴的参与和支持，使我们能够迅速检测并响应此问题。我们致力于通过与利益相关者和更广泛的安全生态系统的合作与透明，持续改进我们的产品和流程。

我们的支持团队始终可为客户和合作伙伴提供帮助。可通过Success门户（需要登录凭据）提交案例。

想要及时了解Ivanti安全公告？请将https://www.ivanti.com/blog/topics/security-advisory/rss粘贴到您首选的RSS阅读器/电子邮件程序功能中。