Lỗ hổng an ninh CVE-2025-22457: Chi tiết và hướng dẫn giảm thiểu

Chi tiết về lỗ hổng

• CVE-2025-22457: Đây là một lỗ hổng nghiêm trọng với điểm số CVSS là 9.0, được phân loại là lỗ hổng tràn bộ nhớ đệm dựa trên ngăn xếp.
• Tác động: Lỗ hổng cho phép các tác nhân từ xa không xác thực thực thi mã trên thiết bị mục tiêu, dẫn đến việc thực thi mã từ xa (RCE).
• Sản phẩm và phiên bản bị ảnh hưởng:
  • Ivanti Connect Secure: Phiên bản 22.7R2.5 trở về trước.
  • Pulse Connect Secure: Phiên bản 9.1R18.9 trở về trước (hỗ trợ kết thúc vào ngày 31 tháng 12 năm 2024).
  • Ivanti Policy Secure: Phiên bản 22.7R1.3 trở về trước.
  • ZTA Gateways: Phiên bản 22.8R2 trở về trước.

Hướng dẫn giảm thiểu

• Patch Availability:
  • Bản vá cho Ivanti Connect Secure đã có sẵn trong phiên bản 22.7R2.6, phát hành vào ngày 11 tháng 2 năm 2025.
  • Các bản vá cho Ivanti Policy Secure và ZTA Gateways dự kiến sẽ có vào ngày 21 tháng 4 năm 2025 và ngày 19 tháng 4 năm 2025, tương ứng.
  • Pulse Connect Secure 9.1x không còn được hỗ trợ và sẽ không nhận được bản vá.
• Các bước thực hiện:
  • Khách hàng nên áp dụng bản vá Ivanti Connect Secure ngay lập tức và theo dõi Công cụ Kiểm tra Tính toàn vẹn (ICT) của họ để phát hiện sự cố trên máy chủ web.
  • Nếu phát hiện dấu hiệu bị xâm phạm, hãy thực hiện đặt lại thiết bị về cài đặt gốc và cài đặt lại bằng phiên bản 22.7R2.6.

Thông tin bổ sung

• Exploitation in the Wild: Lỗ hổng đã được khai thác tích cực với bằng chứng về việc khai thác được quan sát từ giữa tháng 3 năm 2025. Tác nhân tình báo liên quan đến Trung Quốc, UNC5221, đã được liên kết với những cuộc tấn công này.
• Triển khai Malware: Sau khi khai thác thành công, hai họ phần mềm độc hại mới được xác định là TRAILBLAZE và BRUSHFIRE đã được triển khai. Ngoài ra, hệ sinh thái phần mềm độc hại SPAWN thuộc về UNC5221 cũng đã được quan sát.