**Aktualisierung** (13. Januar 2025): Bis heute haben wir 12.335 potenziell anfällige, dem Internet ausgesetzte Ivanti Connect Secure-Instanzen entdeckt, die Anzeichen dafür aufweisen, dass sie mit einer Version vor 22.7R2.5 arbeiten - das sind etwa 37 % der insgesamt ausgesetzten Instanzen. Nur etwa 120 Instanzen scheinen den Patch zu verwenden. Es wird empfohlen, so schnell wie möglich Patches für Connect Secure und Abhilfemaßnahmen für andere betroffene Produkte zu installieren.
Datum der Offenlegung (Quelle): Januar 8, 2025
Datum der Meldung als aktiv ausgenutzt (Quelle): Januar 8, 2025
CVE-2025-0282 ist eine kritische Sicherheitslücke, die mehrere Ivanti Netzwerk-Applianceseinschließlich Ivanti Connect Secure (Versionen vor 22.7R2.5), Ivanti Policy Secure (Versionen vor 22.7R1.2) und Ivanti Neurons für ZTA Gateways (Versionen vor 22.7R2.3). Dies ist eine Stapelüberlauf-Schwachstelle, die es einem entfernten, nicht authentifizierten Angreifer erlaubt, beliebigen Code auf verwundbaren Systemen auszuführen.
Die von Ivanti am 8. Januar 2025 bekannt gegebene Schwachstelle wurde sofort in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, da eine Ausnutzung in freier Wildbahn beobachtet wurde. Mandiant und Ivanti führen derzeit eine gemeinsame Untersuchung durch und haben und haben eine Ausnutzung bis Mitte Dezember 2024 zurückgehend festgestellt. Es wurden auch Aktivitäten nach der Ausnutzung der Schwachstelle beobachtet, darunter seitliche Bewegungen und die Verbreitung von SPAWN-Malware auf kompromittierten Geräten. Diese Taktiken ähneln denen, die in früheren Kampagnen von potenziell chinesischen Akteuren, die ältere Ivanti-Schwachstellen wie CVE-2023-46805 und CVE-2024-21887 ausnutzen.
Die genaue Anzahl der Bedrohungsakteure, die auf diese Schwachstelle abzielen, bleibt unklar. Ivanti empfiehlt die Verwendung seines Integritätsprüfungs-Tool um Anzeichen einer Gefährdung zu erkennen, und Der Blog von Mandiant bietet zusätzliche Indikatoren für eine Kompromittierung (IoCs) für weitere Untersuchungen.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2025-0282 - CVSS 9.0 (Kritisch) - zugewiesen von Ivanti |
| Schwachstelle Beschreibung |
Ein stapelbasierter Pufferüberlauf in Ivanti Connect Secure vor Version 22.7R2.5, Ivanti Policy Secure vor Version 22.7R1.2 und Ivanti Neurons for ZTA Gateways vor Version 22.7R2.3 ermöglicht einem nicht authentifizierten Angreifer die Ausführung von Remotecode. |
| Datum der Offenlegung |
Januar 8, 2025 |
| Betroffene Vermögenswerte |
Betrifft folgende Punkte:
- Ivanti Connect Sicher
- Ivanti-Politik Sicher
- Ivanti-Neuronen für ZTA-Gateways
|
| Anfällige Software-Versionen |
- Ivanti Connect Secure vor Version 22.7R2.5
- Ivanti Policy Secure vor Version 22.7R1.2
- Ivanti Neuronen für ZTA-Gateways vor Version 22.7R2.3
|
| PoC verfügbar? |
Zum Zeitpunkt der Erstellung dieses Berichts ist noch kein PoC öffentlich verfügbar. |
| Verwertungsstatus |
Diese Schwachstelle wurde laut Ivanti und Mandiant mindestens bis Mitte Dezember 2024 aktiv ausgenutzt. Ivanti meldete, dass sie nur von einer Ausnutzung in Connect Secure-Instanzen wissen und dass ihnen "nicht bekannt ist, dass diese CVEs in Ivanti Policy Secure- oder ZTA-Gateways ausgenutzt werden". |
| Patch-Status |
Ivanti hat eine Anleitung zur Behebung von Connect Secure in seinem Empfehlung veröffentlicht am 8. Januar 2025. Ivanti plant, am 21. Januar 2025 eine Korrektur für Ivanti Policy Secure und Ivanti Neurons für ZTA Gateways zu veröffentlichen. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts hat Censys 33,542 gefährdete Ivanti Connect Secure-Instanzen identifiziert (von denen nicht alle unbedingt anfällig sind). Die meisten davon befinden sich in den Vereinigten Staaten und Japan, und die meisten geben ihre Softwareversion nicht öffentlich bekannt. Policy Secure (das nicht mit dem Internet verbunden ist) und Neurons for ZTA können nicht eingesehen werden.
Karte der exponierten Ivanti Connect Secure-Instanzen
Censys Search Abfrage nach EXPOSED-Instanzen:
services.software: (vendor="Ivanti" and product="Connect Secure") and not labels: {honeypot, tarpit}
Censys ASM-Abfrage für EXPOSED-Instanzen:
host.services.software: (vendor="Ivanti" and product="Connect Secure") and not host.labels: {honeypot, tarpit}
Censys ASM-Risikoabfrage für potenziell gefährdete Instanzen:
risks.name: "Vulnerable Ivanti Connect Secure Application [CVE-2025-0282 & CVE-2025-0283]"
Beachten Sie, dass dieses Risiko erst vor kurzem aufgetreten ist und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Referenzen
