Ivanti Connect Secure VPN 漏洞被积极利用

关键要点

• Ivanti Connect Secure VPN 存在未修补的漏洞，正在遭受活跃攻击。
• CVE-2025-0282 漏洞被用作远程接管攻击，管理员需尽快更新系统。
• Ivanti 已发布紧急补丁并建议用户按照安全 advisories 操作。
• 研究团队还发现了另一个漏洞 CVE-2025-0283，目前未被积极利用。
• 部分攻击归因于与中国相关的间谍威胁行为者。

近期，Ivanti Connect Secure VPN 的未修补漏洞正在遭到积极攻击。来自 的研究人员表示，一个或多个威胁行为者正在利用
进行针对特定网络的远程接管攻击。

这一漏洞最初作为零日漏洞被利用，现已发布紧急补丁。建议管理员尽快更新其设备以避免安全风险。Mandiant 的研究人员（如 ）表示：“Ivanti 正在与 Mandiant、受影响客户、政府合作伙伴和安全供应商紧密合作，以解决这些问题。”

Ivanti 为本次攻击中利用的漏洞发布了补丁，并强烈建议客户按照
采取措施，尽快加固系统。

该漏洞的根本原因是基于栈的缓冲区溢出错误。攻击者可以发送故意构造的数据请求，这将触发崩溃，进而允许代码执行。简单来说，攻击者可以远程接管目标设备，并利用被攻陷的设备在网络中建立立足点，以攻击其他系统和数据库。

Mandiant 还发现并报告了第二个漏洞
，尽管此漏洞目前未被积极利用。Mandiant团队并未具体说明这些漏洞是如何被攻击的，或者威胁行为者究竟希望通过被攻陷的系统做什么。此外，他们还提到，可能有多个威胁行为者正在针对该漏洞。

不过，至少有若干攻击归因于与 有关的已知间谍威胁行为者。Mandiant团队解释说：“可能有多个行为者负责这些不同代码家族（即 SPAWN、DRYHOOK 和
PHASEJAM）的创建和部署，但截至本报告发布时，我们没有足够的数据来准确评估针对 CVE-2025-0282 的威胁行为者数量。”