Ivanti 修复了两个影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的漏洞，其中一个漏洞（CVE-2025-0282）已被攻击者作为零日漏洞利用，以控制 Connect Secure VPN 设备。

关于 CVE-2025-0282 和 CVE-2025-0283

两者都是基于堆栈的缓冲区溢出问题： CVE-2025-0282允许未经认证的远程代码执行，CVE-2025-0283可被本地认证攻击者用于提升权限。

Ivanti表示，由于CVE-2025-0282，“有限数量 ”客户的Ivanti Connect Secure设备已被利用。

该公司指出：“完整性检查工具（ICT）在事件发生的当天就识别出了威胁行为者的活动，使 Ivanti 能够及时做出反应并迅速开发出修复程序。”

“我们没有发现这些 CVE 在 Ivanti Policy Secure 或 ZTA 网关中被利用。我们没有迹象表明CVE-2025-0283正在被利用或与CVE-2025-0282连锁。我们在进行威胁排查时，也发现了被披露为CVE-2025-0283的漏洞，并将其也纳入了补丁中。”

谷歌的曼迪安特（Mandiant）和微软的威胁情报中心（Threat Intelligence Center）已经帮助 Ivanti 应对了这一威胁，因此我们或许可以期待有关攻击活动的更多信息将很快发布。

在整个 2024 年，包括 Connect Secure 在内的各种 Ivanti 解决方案中的零漏洞都被攻击者利用。

怎么办？

目前，只有 Ivanti Connect Secure 的支持版本可以使用补丁；Policy Secure 和 Ivanti Neurons for ZTA 网关的补丁正在开发中，将于 1 月 21 日推出。

该公司要求客户使用内部和外部的 Ivanti Connect Secure 完整性检查工具 (ICT) 来验证其 Connect Secure 设备上安装的映像是否被修改过，同时承认 ICT 扫描 “不一定能检测到威胁行为者的活动，如果他们已将设备恢复到干净状态的话。”

如果扫描报告有变化，Ivanti 建议：

• 对设备执行出厂重置，确保删除任何恶意软件
• 使用修复后的版本（v22.7R2.5）将设备重新投入生产

Ivanti 表示，它将与已确认受到影响的客户共享入侵指标，以便他们使用这些指标进行取证调查。更多信息可通过向技术支持部门开票获取。