伊万蒂有 发布 有关零日漏洞的警告,追踪为 CVE-2025-0282,在其广泛使用的 VPN 设备中,该设备已被用来危害客户网络。该漏洞无需身份验证即可利用,攻击者可以在 Ivanti 的 Connect Secure、Policy Secure 和 ZTA 网关产品上远程植入恶意代码。
Ivanti 警告 VPN 设备存在零日漏洞
周三披露的这一严重缺陷影响了 Ivanti Connect Secure,它被认为是“各主要行业各种规模的组织采用最广泛的 SSL VPN”。当其完整性检查工具 (ICT) 检测到客户设备上的恶意活动时,该公司意识到了该漏洞。 Ivanti 承认,它知道“有限数量的客户”的设备受到了损害。
虽然 Connect Secure 已推出补丁,但尚未确认可利用的 Policy Secure 和 ZTA 网关的补丁预计要到 1 月 21 日才会出现。Ivanti 还发现了第二个漏洞, CVE-2025-0283,尚未被利用。
Mandiant 是一家事件响应公司, 报道 早在 2024 年 12 月中旬,它就观察到了 CVE-2025-0282 的利用情况。尽管 Mandiant 尚未明确将这些漏洞与特定威胁行为者联系起来,但它怀疑与中国有关的网络间谍组织(称为“ UNC5337 和 UNC5221。该组织此前曾利用 Ivanti 漏洞对客户进行大规模黑客攻击。
根据 TechCrunchwatchTowr Labs 首席执行官 Ben Harris 指出最新 Ivanti VPN 缺陷的广泛影响,表明攻击表现出高级持续威胁的典型特征。英国国家网络安全中心也在调查影响英国网络的活跃利用案例。与此同时,美国网络安全机构 CISA 已将该漏洞添加到其已知被利用漏洞目录中。
链接到中国网络间谍
Mandiant 将 CVE-2025-0282 的利用与中国网络攻击者联系起来,指出使用了之前发现的名为 Spawn 的恶意软件家族。该工具包包括各种恶意工具,例如安装程序、隧道程序和 SSH 后门,所有这些都与 UNC5337 的间谍活动有关。
除了 Spawn 之外,Mandiant 还发现了两个名为 DryHook 和 PhaseJam 的新恶意软件家族,目前它们与任何已知的威胁组织都没有关联。该漏洞利用链涉及攻击者发送请求来识别设备软件版本,然后利用 CVE-2025-0282 来获取访问权限、禁用安全保护以及部署其他恶意软件。
一旦受到威胁,攻击者就会使用 PhaseJam dropper 在连接的设备上创建 Web shell。 PhaseJam 还修改升级脚本以阻止实际更新。 Spawn 工具包旨在跨系统升级持续存在,也与新的恶意软件家族一起部署。
攻击者的主要目标似乎是通过在受影响的设备上存档数据库并暂存这些数据以进行渗透来窃取与 VPN 会话、API 密钥和凭据相关的敏感信息。 DryHook 已用于在身份验证过程中捕获用户凭据。
安全专家建议系统管理员执行出厂重置并升级到 Ivanti Connect Secure 版本 22.7R2.5。鉴于在最初宣布漏洞时,已有超过 3,600 台 ICS 设备在线暴露,尽管此后该数字已减少至约 2,800 台,表明存在持续的重大风险,因此该通报至关重要。
特色图片来源: 凯雷姆·葛兰/中途
