# CVE-2025-0282
# CVE-2025-0283
概述
1 月 8 日Ivanti 發布重要公告,指出 Connect Secure、Policy Secure 和 ZTA Gateways 產品中的安全漏洞自 2024 年 12 月中旬起已遭到積極利用。被利用的關鍵漏洞為 CVE-2025-0282,這是一個基於堆疊的緩衝區溢出,CVSS 分數為 9.0,影響以下版本:
- Ivanti Connect Secure:22.7R2.5 之前的版本
- Ivanti Policy Secure:22.7R1.2 之前的版本
- Ivanti Neurons for ZTA Gateways:22.7R2.3 之前的版本
成功利用 CVE-2025-0282 可能導致 未經身份驗證的遠端代碼執行(RCE)。Ivanti 的 Integrity Checker Tool (ICT) 在攻擊當天偵測到惡意活動,從而能迅速回應並開發修補程式。
其他漏洞:CVE-2025-0283
另一個高危漏洞 CVE-2025-0283(CVSS 分數:7.0)允許 本地特權提升,目前已修補。以下版本受影響:
- CVE-2025-0282:影響 Ivanti Connect Secure 22.7R2 至 22.7R2.4、Policy Secure 22.7R1 至 22.7R1.2,以及 ZTA Gateways 22.7R2 至 22.7R2.3。
- CVE-2025-0283:影響 Ivanti Connect Secure 22.7R2.4 及更早版本、9.1R18.9 及更早版本,Policy Secure 22.7R1.2 及更早版本,以及 ZTA Gateways 22.7R2.3 及更早版本。
Ivanti 確認有限數量的客戶因 CVE-2025-0282 遭受攻擊,尚未發現 CVE-2025-0283 被武器化的跡象。
威脅行為者歸因與利用細節
Mandiant 的調查將 CVE-2025-0282 的利用活動歸因於 UNC5337,這是一個與中國相關的威脅行為者,評估為 UNC5221 的一部分。攻擊鏈涉及在受損設備中部署 SPAWN 惡意軟體生態系統,並使用其他惡意軟體系列,如 DRYHOOK 和 PHASEJAM,這些均為首次記錄的惡意軟體家族。
主要的漏洞利用策略包括:
- 停用 SELinux 並重新掛載檔案系統。
- 植入和執行網頁後門以維持訪問權限。
- 修改系統日誌(例如刪除 SELinux 核心訊息和系統崩潰痕跡)以逃避檢測。
- 劫持關鍵程序以實現重啟和升級後的持久性。
PHASEJAM 的功能包括:
- 在關鍵檔案(getComponent.cgi、restAuth.cgi)中插入網頁後門。
- 通過修改 DSUpgrade.pm 檔案阻止合法的系統升級。
- 覆蓋 remotedebug 可執行檔案,以執行任意命令。
高級攻擊能力
- 網路偵查:使用工具(如 nmap 和 dig)進行內部網路地圖繪製。
- 憑證提取:部署如 DRYHOOK 的腳本,從會話快取和目錄中提取敏感資料。
- 橫向移動:利用 LDAP 服務帳戶進行查詢,並通過 SMB 或 RDP 攻擊內部網路中的其他系統。
Mandiant 還發現攻擊者使用公開可用的隧道工具(如 SPAWNMOLE)進行指揮與控制(C2)通信。威脅行為者的高度複雜性體現在其系統性刪除日誌痕跡的能力上,包括核心訊息、崩潰記錄和命令歷史記錄。
戰略影響
美國網路安全與基礎設施安全局(CISA)已將 CVE-2025-0282 列入「已知被利用漏洞目錄」(KEV),要求聯邦機構在 2025 年 1 月 15 日 之前完成修補。CISA 呼籲所有組織:
- 立即升級受影響的 Ivanti 產品版本。
- 搜索環境中是否存在被攻擊的跡象,包括異常活動日誌和未經授權的腳本。
- 報告任何事件並升級受感染系統以進行深入取證分析。
建議
- 修補管理:迅速應用修補程式並測試修復效果。
- 加強監控:部署工具監控 SELinux 或 syslog 的異常行為。
- 日誌分析:回顧日誌檔案,搜尋利用步驟的證據(例如 SELinux 變更或可執行檔案被修改)。
- 網路分段:隔離 Ivanti 設備,減少對敏感資源的潛在影響,並實施最小權限原則。
- 事件回應:制定並測試針對勒索軟體和網頁後門部署的事件回應計畫。
鑒於此次攻擊的持久性,優先解決這些漏洞是保護關鍵基礎設施免受進一步威脅的關鍵措施。