Ivanti终端管理器多漏洞可能导致远程代码执行

MS-ISAC咨询编号：2025-037
发布日期：2025年4月8日

概述

在Ivanti终端管理器中发现了多个漏洞，其中最严重的漏洞可能允许远程代码执行。Ivanti终端管理器是一款基于客户端的统一终端管理软件。成功利用这些漏洞中最严重者可能允许在系统上下文中执行远程代码。根据系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。

威胁情报

目前尚未有这些漏洞在野外被利用的报告。

受影响系统

Ivanti终端管理器2022 SU6及更早版本
Ivanti终端管理器2024

风险等级

政府机构：

大型和中型政府实体：高
小型政府实体：中

企业：

大型和中型企业实体：高
小型企业实体：中

家庭用户：低

技术摘要

在Ivanti终端管理器中发现了多个漏洞，其中最严重的漏洞可能允许远程代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001）
技术：利用面向公众的应用程序（T1190）

反射型XSS：Ivanti终端管理器2024 SU1之前版本或2022 SU7之前版本中，远程未认证攻击者可在受害者浏览器中执行任意JavaScript。不需要用户交互。（CVE-2025-22465）
反射型XSS：Ivanti终端管理器2024 SU1之前版本或2022 SU7之前版本中，远程未认证攻击者可获取管理员权限。需要用户交互。（CVE-2025-22466）
DLL劫持：Ivanti终端管理器2024 SU1之前版本或2022 SU7之前版本中，认证攻击者可提升至系统权限。（CVE-2025-22458）
SQL注入：Ivanti终端管理器2024 SU1之前版本或2022 SU7之前版本中，具有管理员权限的远程认证攻击者可实现代码执行。（CVE-2025-22461）

较低严重性漏洞详情：

不可信指针解引用：Ivanti终端管理器2024 SU1之前版本或2022 SU7之前版本中，具有本地访问权限的攻击者可将任意数据写入内存，导致拒绝服务条件。（CVE-2025-22464）
证书验证不当：Ivanti终端管理器2024 SU1之前版本或2022 SU7之前版本中，远程未认证攻击者可拦截客户端和服务器之间的有限流量。（CVE-2025-22459）

成功利用这些漏洞可能允许在系统上下文中执行远程代码。根据系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。

建议措施

我们建议采取以下行动：

应用适当更新：在适当测试后立即为易受攻击系统应用Ivanti提供的适当更新。（M1051：更新软件）
- 保障措施7.1：建立和维护企业资产的漏洞管理流程
- 保障措施7.2：建立和维护修复流程
- 保障措施7.4：执行自动化应用程序补丁管理
- 保障措施7.5：执行内部企业资产的自动化漏洞扫描
- 保障措施7.7：修复检测到的漏洞
- 保障措施12.1：确保网络基础设施保持最新
- 保障措施18.1：建立和维护渗透测试计划
- 保障措施18.2：执行定期外部渗透测试
- 保障措施18.3：修复渗透测试发现的问题
应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户（无管理权限）身份运行所有软件，以减少成功攻击的影响。（M1026：特权账户管理）
- 保障措施4.7：管理企业资产和软件上的默认账户
- 保障措施5.5：建立和维护服务账户清单
漏洞扫描：使用漏洞扫描来发现可能被利用的软件漏洞并进行修复。（M1016：漏洞扫描）
- 保障措施16.13：进行应用程序渗透测试
网络分段：架构网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段防止访问潜在敏感系统和信息。使用DMZ包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统。（M1030：网络分段）
- 保障措施12.2：建立和维护安全网络架构
利用防护：使用功能检测和阻止可能导致或指示软件利用发生的条件。（M1050：利用防护）
- 保障措施10.5：启用反利用功能

Ivanti终端管理器多漏洞可能导致远程代码执行

本文详细分析了Ivanti终端管理器存在的多个安全漏洞，包括反射型XSS、DLL劫持和SQL注入等，最严重漏洞可导致远程代码执行。提供了受影响版本、技术细节和修复建议。

Ivanti终端管理器多漏洞可能导致远程代码执行

概述

威胁情报

受影响系统

风险等级

技术摘要

建议措施

参考链接