黑客正利用新發(fā)現(xiàn)的安全漏洞積極攻擊某些 Ivanti Inc. 軟件產(chǎn)品的部署。

該公司于周三披露了該漏洞，其編號為 CVE-2025-0282。

Ivanti 是一家主要的基礎設施管理和網(wǎng)絡安全軟件提供商，擁有超過 40,000 名客戶。據(jù)該公司稱，這些客戶包括幾家美國政府機構(gòu)。CVE-2025-0283 影響三款 Ivanti 產(chǎn)品：Secure Connect、Neurons for ZTA Gateways 和 Policy Secure。?

Secure Connect 是一款面向企業(yè)的虛擬專用網(wǎng)絡 (VPN) 工具。它使員工能夠通過加密連接遠程登錄公司系統(tǒng)。Ivanti 表示，Connect Secure 是同類產(chǎn)品中使用最廣泛的產(chǎn)品之一。

受此漏洞影響的第二個工具 Neurons for ZTA 也旨在讓員工安全地登錄業(yè)務應用程序。它可以與 Secure Connect 一起使用。第三個受影響的產(chǎn)品 Policy Secure 使管理員能夠集中管理員工對公司網(wǎng)絡的訪問。?

Google LLC 的 Mandiant 網(wǎng)絡安全部門在一篇博客文章中詳細介紹了黑客從 12 月中旬開始利用該漏洞的情況。其研究人員分析了黑客入侵的幾臺 Secure Connect 設備。在其中一臺設備上，他們發(fā)現(xiàn)了與中國黑客組織 UNC5337 相關(guān)的惡意軟件。

谷歌部門的研究人員寫道：“Mandiant 有信心懷疑 UNC5337 是 UNC5221 的一部分。”“UNC5221 是一個疑似與中國有聯(lián)系的間諜行為者，它利用了漏洞 CVE-2023-46805 和 CVE-2024-21887，早在 2023 年 12 月就影響了 Ivanti Connect Secure VPN 和 Ivanti Policy Security 設備。”

本周公布的新漏洞嚴重性評分為 9 分（滿分 10 分）。該漏洞繞過了受影響的 Ivanti 產(chǎn)品的身份驗證機制，這意味著黑客無需獲取登錄憑據(jù)即可獲得訪問權(quán)限。這使得發(fā)起網(wǎng)絡攻擊變得容易得多。

據(jù) Ivanti 稱，CVE-2025-0282 是一種所謂的堆棧溢出漏洞。此類漏洞使黑客能夠向系統(tǒng)內(nèi)存的某個部分寫入比其應容納的數(shù)據(jù)更多的數(shù)據(jù)。這會導致數(shù)據(jù)溢出到相鄰的內(nèi)存部分，用惡意代碼覆蓋其內(nèi)容。?

Mandiant 的研究人員確定針對 CVE-2025-0282 的網(wǎng)絡攻擊通常分階段展開。?

首先，黑客登錄易受攻擊的 Ivanti Connect 設備并禁用底層 Linux 服務器的 SELinux 功能。這是 Linux 內(nèi)核的一個組件，可防止程序訪問敏感的操作系統(tǒng)功能和數(shù)據(jù)。禁用 SELinux 后，惡意軟件會阻止第二個 Linux 組件向管理員發(fā)送有關(guān)系統(tǒng)活動的數(shù)據(jù)。

在網(wǎng)絡攻擊的初始階段之后，黑客會在目標設備上安裝惡意代碼。然后，他們會刪除在此過程中創(chuàng)建的系統(tǒng)日志，并重新啟用 SELinux。

Ivanti 發(fā)布了 Connect Secure 補丁，以修復 CVE-2025-0282 和 CVE-2025-0283，這是同時披露的第二個漏洞。關(guān)于后一個漏洞的技術(shù)細節(jié)很少。該公司計劃于 1 月 21 日為 ZTA Gateways 和 Policy Secure 修補 Neurons。

不到一年前，研究人員就發(fā)現(xiàn)了 Connect Secure 和 Policy Secure 中存在的另一組零日漏洞。據(jù)估計，黑客利用這些漏洞入侵了超過 2,000 個客戶部署。?

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/