Lỗ Hổng Nghiêm Trọng CVE-2025-22457: Sự Nguy Hiểm Bất Ngờ

06/04/2025
2 mins read








Bài viết cung cấp thông tin chi tiết về lỗ hổng nghiêm trọng, CVE-2025-22457, ảnh hưởng đến các sản phẩm Ivanti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure và ZTA Gateways.

Nội dung
Chi tiết lỗ hổng
Sản phẩm và phiên bản bị ảnh hưởng
Khai thác và vá lỗi
Giải pháp và giảm thiểu
Ngữ cảnh bổ sung

Chi tiết lỗ hổng

  • CVE-2025-22457 là một lỗ hổng tràn bộ đệm dựa trên ngăn xếp với điểm CVSS là 9.0, cho phép tin tặc từ xa không được xác thực thực thi mã tùy ý (RCE).
  • Khuyết điểm xảy ra do kiểm tra đầu vào không đầy đủ, cho phép tin tặc tràn bộ đệm và chạy mã độc hại.

Sản phẩm và phiên bản bị ảnh hưởng

  • Ivanti Connect Secure: Phiên bản 22.7R2.5 và trước đó.
  • Pulse Connect Secure: Phiên bản 9.x (đã ngừng hỗ trợ từ tháng 12 năm 2024).
  • Ivanti Policy Secure: Phiên bản 22.7R1.3 và trước đó.
  • ZTA Gateways: Phiên bản 22.8R2 và trước đó.

Khai thác và vá lỗi

  • Lỗ hổng này được vá lỗi lần đầu tiên trong phiên bản Ivanti Connect Secure 22.7R2.6 vào ngày 11 tháng 2 năm 2025.
  • Tuy nhiên, một nhóm APT nghi ngờ có nguồn gốc từ Trung Quốc, UNC5221, đã tích cực khai thác lỗ hổng này từ giữa tháng 3 năm 2025, triển khai các phần mềm độc hại như Trailblaze, Brushfire và bộ Spawn để đánh cắp quyền truy cập và xâm nhập mạng.

Giải pháp và giảm thiểu

  • Ivanti Connect Secure: Nâng cấp lên phiên bản 22.7R2.6 hoặc mới hơn. Nếu bị xâm phạm, thực hiện thiết lập lại nhà máy và triển khai lại với phiên bản 22.7R2.6.
  • Pulse Connect Secure: Liên hệ với Ivanti để được hỗ trợ di chuyển sang nền tảng an toàn, vì sản phẩm này không còn được hỗ trợ.
  • Ivanti Policy Secure: Một bản vá (phiên bản 22.7R1.4) sẽ được phát hành vào ngày 21 tháng 4 năm 2025. Không có báo cáo nào về việc khai thác, và nguy cơ thấp hơn do sản phẩm này không tiếp xúc với internet.
  • ZTA Gateways: Một bản vá (phiên bản 22.8R2.2) sẽ tự động áp dụng vào ngày 19 tháng 4 năm 2025. Nguy cơ chỉ tồn tại đối với các gateway không được kết nối; chưa có báo cáo về việc khai thác.
  • Phát hiện và phản ứng: Sử dụng Công cụ Kiểm tra Tính toàn vẹn (ICT) để phát hiện các dấu hiệu bị xâm phạm, chẳng hạn như sự cố máy chủ web. Nếu phát hiện, thực hiện thiết lập lại nhà máy và nâng cấp lên phiên bản 22.7R2.6. Thực hiện phát hiện bất thường cho các chứng chỉ TLS của client được cung cấp cho thiết bị và sử dụng các quy tắc YARA và băm mã độc đã cung cấp để phát hiện hoạt động độc hại đã biết.

Ngữ cảnh bổ sung

Sự khai thác lỗ hổng CVE-2025-22457 nhấn mạnh các mối đe dọa thường trực đối với các thiết bị biên mạng và nhấn mạnh sự cần thiết của việc vá lỗi kịp thời cũng như các cấu hình an toàn. Các tổ chức phải ưu tiên nâng cấp lên các phiên bản mới nhất của các sản phẩm bị ảnh hưởng và triển khai các biện pháp an ninh mạng mạnh mẽ để giảm thiểu rủi ro.