Critical Vulnerabilities CVE-2025-0282 and CVE-2025-0283 in Ivanti Connect Secure VPN Appliances – Kudelski Security Research

摘要

2025年1月8日，Ivanti披露了两个关键漏洞，影响Ivanti Connect Secure（ICS）VPN设备。值得注意的是，自2024年12月以来，其中一个漏洞已在野外被利用。该漏洞是一个未经身份验证的基于堆栈的缓冲区溢出，可能允许攻击者执行远程代码并危害受害者网络。另一个漏洞的具体细节未提供，但构成类似的关键风险。

Ivanti已与Mandiant和其他合作伙伴合作解决这些漏洞，发布了补丁和缓解指南。需要立即采取行动保护系统，因为持续的分析揭示了复杂的利用方法、多个恶意软件家族和高级的反取证技术。

受影响系统和/或应用

• CVE-2025-0282：Ivanti Connect Secure 22.7R2至22.7R2.4；下载门户：cpe:2.3:a:ivanti:connect_secure:22.7:R2.4::::..；补丁版本22.7R2.5，链接：https://portal.ivanti.com
• CVE-2025-0283：Ivanti Connect Secure 22.7R2.4及更早版本，9.1R18.9及更早版本；下载门户：cpe:2.3:a:ivanti:connect_secure:22.7:R2.4::::..；补丁版本22.7R2.5，链接：https://portal.ivanti.com
• CVE-2025-0282：Ivanti Policy Secure 22.7R1至22.7R1.2；cpe:2.3:a:ivanti:policy_secure:22.7:r1.2::::.*；补丁计划于2025年1月21日可用
• CVE-2025-0283：Ivanti Policy Secure 22.7R1.2及更早版本；cpe:2.3:a:ivanti:policy_secure:22.7:r1.2::::.*；补丁计划于2025年1月21日可用
• CVE-2025-0282：Ivanti Neurons for ZTA Gateways 22.7R2至22.7R2.3；补丁版本22.7R2.5，计划于2025年1月21日可用
• CVE-2025-0283：Ivanti Neurons for ZTA Gateways 22.7R2.3及更早版本；补丁版本22.7R2.5，计划于2025年1月21日可用

技术细节

关键漏洞CVE-2025-0282 – 利用方法

1. 攻击者通过HTTP请求识别设备版本，例如：

   • /dana-cached/hc/hc_launcher.22.7.2.2615.jar
   • /dana-cached/hc/hc_launcher.22.7.2.3431.jar 来自VPS提供商或Tor网络的顺序HTTP请求表明预利用活动。

2. 关键步骤包括：

   • 禁用SELinux。
   • 使用iptables阻止syslog转发。
   • 将文件系统重新挂载为读写模式。
   • 部署Web shell或恶意软件。
   • 清理日志以消除利用痕迹。

   示例命令：

   • （具体命令未提供）

3. 攻击者部署一个修改ICS组件的投放器，插入基于Perl的Web shell（getComponent.cgi, restAuth.cgi）以启用远程访问和命令执行。

关键漏洞CVE-2025-0282 – 观察到的恶意软件家族

1. 家族1：

   • 插入Web shell（AccessAllow()）以实现RCE。
   • 阻止合法的系统升级。
   • 篡改DSUpgrade.pm以模拟虚假升级进度。
   • 重新计算文件哈希以逃避Ivanti的完整性检查工具（ICT）。

2. 家族2：

   • 组件：
     • 隧道器用于恶意流量。
     • SSH后门。
     • 日志篡改实用程序。
   • 通过注入到合法二进制文件（如dspkginstall）中在升级后持久化。

3. 家族3：

   • 通过修改DSAuth.pm进行凭据收集。
   • 在身份验证期间捕获凭据，加密它们，并将它们存储在/tmp/cmdmmap.kuwMW中。

4. 其他家族：

   • 未与已知行为者关联，但表现出高级规避技术。

入侵指标

文件和进程

• 修改的文件：
  • DSUpgrade.pm
  • getComponent.cgi
  • restAuth.cgi
  • /tmp/.t
  • /tmp/svb
  • /tmp/s
• Web Shell：
  • Base64编码的有效负载写入/tmp/test.p

网络活动

• 顺序请求：
  • /dana-cached/hc_launcher.*.jar
• 出站连接：
  • 来自受损设备使用（具体未提供）

日志和工件

• 反取证行动的证据，包括：
  • 通过dmesg清除内核日志。
  • 删除与利用相关的特定日志条目。

缓解措施

使用Ivanti设备的组织必须立即采取行动解决关键漏洞并保护其系统。首先利用最新版本的完整性检查工具（ICT），该工具与Ivanti Connect Secure兼容。

请进行彻底扫描，并将结果连同案例提交给我们，如果扫描显示任何阳性发现。

在ICT扫描阳性的情况下，将启动威胁狩猎活动以检测可能指示潜在危害的预侦察活动。作为此努力的一部分，我们正在积极分析日志数据以寻找未经授权的请求参数。为了支持此调查，请确保启用Ivanti的“用户访问日志”功能并配置为捕获“未经身份验证的请求”日志。用户访问日志：什么是“未经身份验证的请求”日志？

最新版本的外部完整性检查工具（ICT-V22725）仅与Ivanti Connect Secure（ICS）版本22.7R2.5或更高版本兼容。

• 对于ICS：升级到版本22.7R2.5，并在部署到生产环境之前对设备进行出厂重置作为预防措施。与其他安全工具协调，持续监控内部和外部ICT扫描。
• 对于受损设备：执行出厂重置以消除潜在恶意软件，并使用版本22.7R2.5重新配置设备。继续使用ICT和补充安全解决方案密切监控。
• 对于Policy Secure：由于此产品不应暴露在互联网上，利用风险显著降低。
• 对于Policy Secure补丁：修复计划于2025年1月21日通过标准下载门户发布。确保在可用时及时打补丁。
• 对于Policy Secure配置：验证IPS设备是否按照Ivanti指南正确配置，并且从不将其暴露在互联网上。未报告这些CVE在Ivanti Policy Secure中的利用实例。
• 对于ZTA网关：生产中的ZTA网关不易受到利用。但是，未连接到ZTA控制器的生成网关处于风险中。
• 对于ZTA网关补丁：修复也计划于2025年1月21日。在补丁发布后及时更新您的ZTA网关。
• 对于ZTA网关利用：未识别这些CVE在ZTA网关中的主动利用。

仅将ICT-V22725与ICS版本22.7R2.5或更高版本一起使用。

定期监控所有设备和ICT结果，并纳入其他安全工具以实现全面监督。

确保及时更新并遵守Ivanti的最佳实践进行配置和安全管理。

网络融合中心正在做什么

CFC将继续监控情况，并在需要时发送咨询更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后，如果扫描范围内发现关键漏洞，将收到相关结果。

我们还基于日志源中启用的未经身份验证的请求参数启动狩猎活动。

参考

• Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation | Google Cloud Blog
• Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)
• User Access Log: What do “Unauthenticated request” logs mean?