Ivanti终端管理器多重漏洞可能导致远程代码执行

MS-ISAC咨询编号：2025-037
发布日期：2025年4月8日

概述

在Ivanti终端管理器中发现了多个漏洞，其中最严重的漏洞可能允许远程代码执行。Ivanti终端管理器是一款基于客户端的统一终端管理软件。成功利用这些漏洞中最严重的漏洞可能允许在系统上下文中执行远程代码。根据系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。

目前没有这些漏洞在野外被利用的报告。

政府机构：

企业：

家庭用户：低

在Ivanti终端管理器中发现了多个漏洞，其中最严重的漏洞可能允许远程代码执行。这些漏洞的详细信息如下：

战术：初始访问（TA0001） 技术：利用面向公众的应用程序（T1190）

反射型XSS：在2024 SU1之前或2022 SU7之前的Ivanti终端管理器中，远程未认证攻击者可以在受害者浏览器中执行任意JavaScript。不需要用户交互。（CVE-2025-22465）
反射型XSS：在2024 SU1之前或2022 SU7之前的Ivanti终端管理器中，远程未认证攻击者可以获得管理员权限。需要用户交互。（CVE-2025-22466）
DLL劫持：在2024 SU1之前或2022 SU7之前的Ivanti终端管理器中，认证攻击者可以提升至系统权限。（CVE-2025-22458）
SQL注入：在2024 SU1之前或2022 SU7之前的Ivanti终端管理器中，具有管理员权限的远程认证攻击者可以实现代码执行。（CVE-2025-22461）

较低严重性漏洞详情：

不可信指针解引用：在2024 SU1之前或2022 SU7之前的Ivanti终端管理器中，具有本地访问权限的攻击者可以向内存写入任意数据，导致拒绝服务状况。（CVE-2025-22464）
证书验证不当：在2024 SU1之前或2022 SU7之前的Ivanti终端管理器中，远程未认证攻击者可以拦截客户端和服务器之间的有限流量。（CVE-2025-22459）

成功利用这些漏洞可能允许在系统上下文中执行远程代码。根据系统关联的权限，攻击者可以安装程序；查看、更改或删除数据。

我们建议采取以下措施：

应用补丁更新
- 经过适当测试后立即为易受攻击的系统应用Ivanti提供的适当更新（M1051：更新软件）
- 保障措施7.1：建立和维护漏洞管理流程
- 保障措施7.2：建立和维护修复流程
- 保障措施7.4：执行自动化应用程序补丁管理
- 保障措施7.5：执行企业内部资产的自动化漏洞扫描
- 保障措施7.7：修复检测到的漏洞
- 保障措施12.1：确保网络基础设施保持最新
实施最小权限原则
- 对所有系统和服务应用最小权限原则
- 以非特权用户身份运行所有软件（M1026：特权账户管理）
- 保障措施4.7：管理企业资产和软件上的默认账户
- 保障措施5.5：建立和维护服务账户清单
漏洞扫描和渗透测试
- 使用漏洞扫描发现潜在可利用的软件漏洞（M1016：漏洞扫描）
- 保障措施18.1：建立和维护渗透测试计划
- 保障措施18.2：执行定期外部渗透测试
- 保障措施18.3：修复渗透测试发现的问题
- 保障措施16.13：进行应用程序渗透测试
网络分段架构
- 通过网络分段隔离关键系统、功能或资源（M1030：网络分段）
- 使用物理和逻辑分段防止访问潜在敏感系统和信息
- 保障措施12.2：建立和维护安全网络架构
利用防护功能
- 使用功能检测和阻止可能导致或指示软件利用发生的条件（M1050：利用防护）
- 保障措施10.5：启用反利用功能

CVE参考：

Ivanti官方公告：