AI 赋能漏洞变种分析：从已知到未知，Hacktron 发现 Ivanti EPMM 新攻击向量的启示

漏洞原文

https://www.hacktron.ai/blog/posts/ivanti-epmm-variant-analysis/

Ivanti EPMM 新型远程代码执行漏洞分析 (Hacktron) 漏洞
这篇文章详细介绍了 Hacktron 公司如何发现 Ivanti EPMM 产品中的一个新的预身份验证远程代码执行 (RCE) 漏洞。该漏洞与先前报告的漏洞类似，其根本原因在于表达式语言 (EL) 注入缺陷。

漏洞详情 🧐

研究人员指出，此安全隐患存在于 /api/v2/policy/androidfirmware API 端点。更具体地说，是 AndroidFirmwarePolicyRequestValidator 在处理 deviceModel 参数时存在缺陷。当 deviceModel 参数未能通过验证并引发错误时，用户提供的输入会被直接嵌入到错误信息模板中。由于 Hibernate Validator 会将这些模板内 ${...} 格式的字符串解析并执行为 EL 表达式，这就构成了一个严重的安全漏洞。

一个关键点是，尽管 /api/v2/policy/androidfirmware 端点受到 Spring Security 的 @PreAuthorize 注解保护，但Bean 验证的执行时机优先于 Spring Security 的授权检查。这就为未经身份验证的攻击者打开了方便之门，使其能够触发验证逻辑并执行恶意代码。

Hacktron 通过细致的数据流追踪，成功定位了存在漏洞的具体组件。他们发现，createPolicy (POST 请求) 和 updatePolicy (PUT 请求) 方法均采用了 @PreAuthorize 注解进行访问控制，并使用 @Valid 注解来触发对 AndroidFirmwarePolicyRequest 对象的验证。在验证流程中，会调用 validateZebraFirmwareSelection 方法，此方法在特定条件下可能进一步调用 setLocalizedErrorMessageToContext 方法。该方法会将用户可控的输入（例如 deviceModel 的值）整合进错误信息中。最终，buildConstraintViolationWithTemplate 函数会将这部分包含用户输入的错误信息作为 EL 表达式进行解析，从而可能导致任意代码执行。

利用过程 ⚔️

为了实际验证并展示此漏洞，Hacktron 构建了一个 cURL 请求。在该请求中，他们向 deviceModel 字段注入了特制的 EL 表达式。服务器在处理此请求时，由于验证失败而触发了错误处理机制，进而执行了注入的 EL 表达式，这直接证实了该漏洞的存在和可利用性。

Hacktron 还提到，他们运用其人工智能平台对原始的 CVE 编号 (CVE-2025-4427) 进行了逆向分析和研究，并在此基础上启动了变体分析流程，最终成功挖掘出了这个新的安全漏洞。

在网络安全攻防的持续博弈中，漏洞的发现与修复是核心战场之一。然而，随着软件系统日益复杂，以及攻击者手段的不断演进，单纯依赖人工进行漏洞挖掘和分析，不仅耗时耗力，也难以覆盖所有潜在的攻击面。近年来，人工智能（AI）在安全领域的应用崭露头角，特别是在加速漏洞研究、尤其是发现已知漏洞的变种方面，展现出巨大潜力。Hacktron.ai 最近披露的其 AI 安全研究员发现 Ivanti EPMM 新预认证远程代码执行（RCE）漏洞变种的案例，便是这一趋势的绝佳例证。

传统漏洞变种分析的痛点

在传统的安全研究中，当一个漏洞（例如 CVE-2025-4427）被公开后，安全研究员通常会尝试理解其根本原因和利用方式。随后，一个重要的工作便是进行“变种分析”——即在同一产品或其他产品中，寻找是否存在利用相似原理、但触发点或利用路径略有不同的其他漏洞。

这项工作往往极具挑战性：

1. 1. 代码量庞大：现代软件系统代码动辄数百万行，人工审计寻找相似模式如同大海捞针。
2. 2. 模式的微妙差异：漏洞变种可能与原始漏洞在代码层面有细微但关键的差别，容易被人眼忽略。
3. 3. 上下文依赖：一个代码片段是否构成漏洞，往往取决于其运行的上下文、数据流以及外部依赖。
4. 4. 知识迁移的难度：将一个漏洞的知识有效地应用到寻找其他潜在的、未知的触发点，需要研究员具备深厚的经验和敏锐的洞察力。

AI 如何革新漏洞变种分析：以 Hacktron 案例为例

Hacktron 的文章《Ivanti EPMM Variant Analysis》揭示了其 AI 如何克服上述挑战。其核心思路是：基于对已知漏洞的深度理解，自动化地寻找新的、可利用的触发点。

在该案例中，已知的 Ivanti EPMM 漏洞（如 CVE-2025-4427 和 CVE-2025-4428）与表达式语言（EL）注入有关。Hacktron 的 AI 采取了以下步骤：

1. 1. 学习与理解原始漏洞：AI 首先对已公开的 EL 注入漏洞（如 CVE-2025-4427）进行分析。这可能包括解析漏洞细节、PoC 代码，甚至对相关代码片段进行逆向工程，以提炼出漏洞的本质特征和触发模式。
2. 2. 模式泛化与特征提取：AI 将原始漏洞的模式进行抽象和泛化，识别出关键的代码结构、数据流向、危险函数调用等与 EL 注入相关的“指纹”。例如，它会关注用户输入如何未经充分净化就进入了 EL 解释器的环节。
3. 3. 自动化代码库扫描与分析：利用学习到的模式，AI 自动扫描 Ivanti EPMM 的代码库，寻找与已知漏洞模式相似的代码路径。这比人工审计快了几个数量级。
4. 4. 发现新的触发点：通过这种方式，Hacktron 的 AI 成功定位到了一个新的 EL 注入触发点：/api/v2/policy/androidfirmware 接口中的 deviceModel 参数。当此参数的验证发生错误时，用户提供的输入被直接嵌入到错误信息模板中，从而触发 EL 注入。
5. 5. 关键洞察：预认证利用：更重要的是，AI 的分析（或辅助分析）揭示了此变种的一个关键特性——由于 Bean 验证在 Spring Security 授权之前运行，导致该漏洞可以在未经身份验证的情况下被利用，构成了预认证 RCE，大大提升了漏洞的危害等级。

AI 在此过程中的核心优势

• • 速度与规模：AI 能够在短时间内分析海量代码，这是人工无法比拟的。
• • 模式识别能力：AI 擅长从大量数据中识别复杂和细微的模式，即使这些模式对人类来说并不直观。
• • 自动化：将繁琐、重复的变种分析工作自动化，使安全研究员能将精力投入到更具创造性和战略性的任务上。
• • 知识迁移：AI 可以更系统、更高效地将从已知漏洞中学到的知识应用到未知领域。

对渗透测试工程师的启示

作为渗透测试工程师，这个案例告诉我们：

1. 1. 关注已知漏洞的变种：一个已修复的漏洞，其 underlying pattern 可能仍然存在于系统的其他部分。AI 工具的出现，使得发现这些变种的可能性大大增加。
2. 2. 理解 AI 的分析逻辑：了解 AI 如何进行漏洞挖掘和变种分析，有助于我们更好地利用这类工具，或借鉴其思路改进我们的人工测试方法。
3. 3. 新攻击面的持续涌现：即使是成熟的产品，也可能因为微小的代码差异或配置问题，暴露出新的攻击向量。AI 的介入，可能会加速这些隐藏攻击面的暴露。

结论

Hacktron 通过 AI 发现 Ivanti EPMM 新漏洞变种的案例，清晰地展示了 AI 技术在加速安全研究、特别是自动化漏洞变种分析方面的强大能力。它不仅仅是简单地找到相似的代码，更是能够理解漏洞的本质，并在新的上下文中定位相似的风险。未来，随着 AI 技术的不断发展，我们可以预见，AI 将在漏洞发现、威胁情报分析、自动化渗透测试等多个安全领域扮演越来越重要的角色，成为安全研究员和渗透测试工程师手中不可或缺的利器，帮助我们更有效地应对日益严峻的网络安全挑战。这种“基于已有，探索未知”的模式，将是 AI 赋能安全研究的重要方向。