点击上方蓝字关注我们吧~
已在 Ivanti Connect Secure 中发现一个严重的安全漏洞,编号为 CVE-2025-0282。此漏洞允许未经身份验证的远程攻击者执行任意代码。
截至 2025 年 1 月 8 日,Ivanti 已确认此基于堆栈的缓冲区溢出问题会影响 22.7R2.5 之前的 Ivanti Connect Secure 版本。
通用漏洞评分系统 (CVSS) 将此漏洞评级为 9.0,反映了其严重性。此外,同一公告中还修补了相关的本地权限提升漏洞 CVE-2025-0283。
但是,Ivanti 表示,没有证据表明后一个漏洞被利用。虽然这两个漏洞都令人担忧,但 CVE-2025-0282 目前构成的风险要高得多,因为高级威胁行为者已经在野外利用了它。
安全研究人员发现了针对 Ivanti Connect Secure、Policy Secure 和 Neurons for ZTA 网关中关键远程代码执行漏洞的概念验证 (PoC) 漏洞。
AttackerKB 的分析师指出,未经身份验证的远程攻击者可以利用此漏洞在易受攻击的系统上实现远程代码执行,这使得此漏洞特别令人担忧。
PoC 漏洞 CVE-2025-0282
根据 watchTowr 于 2025 年 1 月 10 日发布的安全分析,CVE-2025-0282 是 Ivanti HTTPS Web 服务器(侦听默认 TCP 端口 443)的 IF-T/TLS 协议处理程序中基于堆栈的缓冲区溢出漏洞。
此缺陷允许攻击者以低权限“nr”用户的权限实现远程代码执行 (RCE),这仍可能导致受影响系统受到严重危害。
根据 Mandiant 的一份报告,自 2024 年 12 月以来,该漏洞一直在野外被积极利用。利用漏洞的成功依赖于绕过地址空间布局随机化 (ASLR),这是一种旨在增加攻击者难度的内存保护机制。
但是,研究人员发现,由于 Connect Secure 中的 ASLR 具有 9 位熵的有限性,因此平均需要 30 到 90 分钟的重复尝试。
已发布针对 CVE-2025-0282 的概念验证 (PoC) 漏洞以帮助检测和修复,展示了攻击者如何通过暴力破解库的内存地址来可靠地执行 RCE。此 PoC 表明,尽管有 ASLR 保护,但该漏洞仍具有很高的可靠性。
已发布的 PoC 漏洞 CVE-2025-0282.rb 展示了攻击者如何以易受攻击的 Ivanti Connect Secure 设备为目标。将此漏洞用于易受攻击的系统可让攻击者写入文件或执行任意命令。
该脚本的执行示例揭示了攻击者如何识别易受攻击的版本并反复“猜测”ASLR 值以暴力破解到 RCE。
bashC:UserssfewerDesktopCVE-2025-0282>ruby CVE-2025-0282.rb -t 192.168.86.111 -p 443
[+] Targeting 192.168.86.111:443
[+] Detected version 22.7.2.3597
[2025-01-16 14:39:56 +0000] Starting...
PoC 强调,虽然利用可能需要数十分钟,但成功率会随着重复尝试而增加,因为该过程会在失败时自动重新启动,从而为攻击者提供了多个暴力破解地址的机会。
PoC 漏洞的发布会显著增加在野外主动利用的风险。
强烈建议使用受影响 Ivanti 产品的组织立即应用可用补丁,或者在无法立即进行修补时实施建议的缓解措施。
Ivanti 已经发布了解决这两个漏洞的补丁。我们敦促 Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 网关的用户立即升级到 22.7R2.5 或更高版本。
安全防御者应监控系统是否有泄露迹象,特别是端口 443 上的异常活动或表明漏洞利用尝试的重复应用程序崩溃。
组织还可以考虑部署其他缓解措施,例如网络分段和详细日志记录,以限制潜在攻击的冲击半径。
未能修补会使系统容易受到主动利用,从而可能危及通常通过企业 VPN 传输的敏感数据。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):针对 Ivanti Connect Secure RCE 漏洞 (CVE-2025-0282) 发布 PoC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论