【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞（CVE-2025-0282）

长亭安全应急响应中心 2025-01-11 04:02

Ivanti Connect Secure（ICS） 是 Ivanti 公司旗下的一款企业级 SSL VPN 解决方案，支持远程安全接入、身份验证和访问控制等关键功能。2025 年 1 月，Ivanti 官方发布安全公告，修复了 Ivanti Connect Secure 中的两个堆栈溢出漏洞，其中 CVE-2025-0282 为关键的未经授权远程代码执行漏洞。该漏洞已被证实在野外被积极利用，建议受影响的用户尽快升级至安全版本，避免受到进一步攻击。
漏洞描述

Description 

01

漏洞成因该漏洞源于 Ivanti Connect Secure VPN 网关处理特定协议时，对传入的某些字段缺乏正确的长度校验，错误地将输入字符串长度作为拷贝限制参数，导致了堆栈溢出风险。当攻击者向设备发送超长字符串时，溢出的数据将覆盖其他栈上变量及返回地址，从而实现远程代码执行。该过程在默认配置下即可触发，并且因设备本身启用了 ASLR、PIE 等安全机制，虽增加了漏洞利用难度，但并未阻止在野攻击者成功完成恶意利用。漏洞影响攻击者成功利用该漏洞，可在 Ivanti Connect Secure 设备上执行任意命令或植入后门程序，可能产生VPN 设备完全失控、内部网络横向移动、敏感数据泄露、成为其他恶意攻击跳板等风险。处置优先级：高漏洞类型：堆栈缓冲区溢出漏洞危害等级：严重触发方式：网络远程权限认证要求：无需权限（Pre-Auth）系统配置要求：默认配置即可触发，主要影响特定版本（22.7R2 系列）用户交互要求：无需用户交互利用成熟度：已出现在野攻击修复复杂度：低，官方提供补丁修复方案影响版本 Affects 02根据 Ivanti 官方公告与公开信息，以下版本的 Ivanti Connect Secure 设备存在此漏洞风险：● Ivanti Connect Secure 22.7R2（22.7R2.4 及之前的补丁版本）● 同时可能影响仍在使用旧版本的 Ivanti Policy Secure、Neurons for ZTA 等相关产品，但官方尚未完全发布全部修复，需要额外关注。解决方案 Solution 03临时缓解方案1. 使用官方完整性检查工具（ICT）及其他安全监控Ivanti 官方提供的 Integrity Checker Tool（ICT）可对文件系统关键位置进行校验，以检测相关后门文件或篡改迹象。建议同时结合其他安全监控（EDR、IDS/IPS、SIEM 等）及时发现设备上可疑行为。2. 限制对 VPN 网关的访问范围仅允许可信任的 IP 地址或网段访问管理面或用于远程访问的接口，减少暴露面。同事使用防火墙/WAF 对相关网络流量进行严格过滤。3. 监控可疑登录和日志异常检查 VPN 网关系统日志、审计日志，关注可疑的访问或高危操作。若发现异常访问、Crash Dump、应用崩溃日志被大量删除或其他异常清理痕迹，需要进一步排查。4. 立即更改所有本地账户密码及证书考虑到在野攻击可能已导致凭据外泄，应更换 VPN 管理员和用户密码，重置 API Key、吊销旧证书等。升级修复方案1. 官方补丁升级Ivanti 已于 2025 年 1 月发布安全更新 22.7R2.5 修复 CVE-2025-0282 等严重漏洞。强烈建议尽快升级至 22.7R2.5 或更高版本，以彻底修复漏洞并避免后续变种攻击。2. 设备全面审计和恢复若检测到任何利用痕迹或设备完整性受损迹象，Ivanti 官方推荐进行“设备出厂重置”操作，并在干净环境下重新部署，以杜绝残留后门或配置篡改。升级完成后重新进行完整性检测，验证系统文件哈希与官方清单一致。漏洞复现 Support 04

时间线

Timeline 

05
1月9日 互联网公开披露该漏洞1月10日 长亭应急安全实验室复现漏洞1月11日 长亭安全应急响应中心发布通告
参考资料：

[1]. 
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]