【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞（CVE-2025-0282）

漏洞成因

该漏洞源于 Ivanti Connect Secure VPN 网关处理特定协议时，对传入的某些字段缺乏正确的长度校验，错误地将输入字符串长度作为拷贝限制参数，导致了堆栈溢出风险。当攻击者向设备发送超长字符串时，溢出的数据将覆盖其他栈上变量及返回地址，从而实现远程代码执行。

该过程在默认配置下即可触发，并且因设备本身启用了 ASLR、PIE 等安全机制，虽增加了漏洞利用难度，但并未阻止在野攻击者成功完成恶意利用。

漏洞影响

攻击者成功利用该漏洞，可在 Ivanti Connect Secure 设备上执行任意命令或植入后门程序，可能产生VPN 设备完全失控、内部网络横向移动、敏感数据泄露、成为其他恶意攻击跳板等风险。

处置优先级：高

漏洞类型：堆栈缓冲区溢出

漏洞危害等级：严重

触发方式：网络远程

权限认证要求：无需权限（Pre-Auth）

系统配置要求：默认配置即可触发，主要影响特定版本（22.7R2 系列）

用户交互要求：无需用户交互

利用成熟度：已出现在野攻击

修复复杂度：低，官方提供补丁修复方案

影响版本

Affects


根据 Ivanti 官方公告与公开信息，以下版本的 Ivanti Connect Secure 设备存在此漏洞风险：
● Ivanti Connect Secure 22.7R2（22.7R2.4 及之前的补丁版本）
● 同时可能影响仍在使用旧版本的 Ivanti Policy Secure、Neurons for ZTA 等相关产品，但官方尚未完全发布全部修复，需要额外关注。

解决方案

Solution

临时缓解方案

1. 使用官方完整性检查工具（ICT）及其他安全监控

Ivanti 官方提供的 Integrity Checker Tool（ICT）可对文件系统关键位置进行校验，以检测相关后门文件或篡改迹象。建议同时结合其他安全监控（EDR、IDS/IPS、SIEM 等）及时发现设备上可疑行为。

2. 限制对 VPN 网关的访问范围

仅允许可信任的 IP 地址或网段访问管理面或用于远程访问的接口，减少暴露面。同事使用防火墙/WAF 对相关网络流量进行严格过滤。

3. 监控可疑登录和日志异常

检查 VPN 网关系统日志、审计日志，关注可疑的访问或高危操作。若发现异常访问、Crash Dump、应用崩溃日志被大量删除或其他异常清理痕迹，需要进一步排查。

4. 立即更改所有本地账户密码及证书

考虑到在野攻击可能已导致凭据外泄，应更换 VPN 管理员和用户密码，重置 API Key、吊销旧证书等。

升级修复方案

1. 官方补丁升级

Ivanti 已于 2025 年 1 月发布安全更新 22.7R2.5 修复 CVE-2025-0282 等严重漏洞。强烈建议尽快升级至 22.7R2.5 或更高版本，以彻底修复漏洞并避免后续变种攻击。

2. 设备全面审计和恢复

若检测到任何利用痕迹或设备完整性受损迹象，Ivanti 官方推荐进行“设备出厂重置”操作，并在干净环境下重新部署，以杜绝残留后门或配置篡改。升级完成后重新进行完整性检测，验证系统文件哈希与官方清单一致。

漏洞复现

Support

1月9日互联网公开披露该漏洞

1月10日长亭应急安全实验室复现漏洞

1月11日长亭安全应急响应中心发布通告