Ivanti漏洞風險從「低」升級為「關鍵」：中國駭客組織UNC5221積極利用中

安全研究人員揭露，一個可能與中國有關的網路間諜組織正在積極利用Ivanti產品中的嚴重漏洞，該漏洞原本被廠商評估為低風險，但現已被確認為可實現遠端程式碼執行的關鍵安全威脅。

漏洞詳情與評估變更

Ivanti在2月修補了一個影響Connect Secure、Policy Secure和ZTA Gateway產品的緩衝區溢位漏洞（CVE-2025-22457）。Ivanti最初將其評估為對客戶構成的低風險問題，然而，在發現威脅行為者利用該漏洞在受影響系統上執行任意程式碼後，Ivanti已將該漏洞重新評為嚴重級別，在CVSS量表上的嚴重性得分為9分（滿分10分）。

Ivanti在4月3日的安全公告中表示，CVE-2025-22457是一個緩衝區溢位問題，字符限於句點和數字，最初評估認為無法作為遠端程式碼執行利用，也不符合拒絕服務的條件。然而，Ivanti和我們的安全合作夥伴現在已經了解到該漏洞可通過複雜手段被利用，並已確認在野外利用證據。

此漏洞影響Ivanti Connect Secure（22.7R2.5及更早版本）、Ivanti Policy Secure和ZTA網關，以及Pulse Connect Secure 9.x，後者是Ivanti在2024年12月31日終止支援的技術。

攻擊活動

Google旗下的Mandiant安全團隊協助Ivanti調查該漏洞，並將目前利用該漏洞的疑似與中國有關的組織識別為UNC5221。Mandiant的分析顯示，該威脅行為者在通過CVE-2025-22457獲得初始訪問權限後，在目標系統上部署了兩個新的惡意軟體工具：

• Trailblaze：一種在被入侵系統上在記憶體中運行的投遞器
• Brushfire：一種會鉤取SSL函數以接收命令的被動後門程式

除此之外，UNC5221還部署了多個在以前活動中使用過的其他工具，包括：

• Spawnsloth：一種稱為「生成樹懶」的日誌篡改工具
• Spawnsnare：一種稱為「生成陷阱」的加密工具
• Spawnant：其他惡意軟體的安裝程式
• Spawnwave：Spawnant的進化版本，結合了Spawn惡意軟體生態系統中其他成員的功能

Mandiant的資深顧問Matt Lin表示，UNC5221在Ivanti在2月發布修補後不久就開始利用CVE-2025-22457。

據Mandiant觀察，自3月中旬以來，這些攻擊者已在野外積極利用此漏洞。美國網路安全暨基礎設施安全局(CISA)也確認了對該漏洞的利用。

邊緣設備成目標

Mandiant此前曾觀察到同一威脅行為者利用Ivanti產品中的零日漏洞。最近的例子是Ivanti在今年1月披露並修補的Connect Secure VPN中的兩個零日漏洞（CVE-2025-0282和CVE-2025-0283）。Mandiant的調查顯示，UNC5221至少從2024年12月開始利用這兩個漏洞。

CISA近日警告，威脅行為者正在積極利用其中一個漏洞——CVE-2025-0282，在受感染的系統上部署稱為「Resurge」的惡意軟體。

在2024年1月，Mandiant報告了另一場UNC5221活動，涉及Ivanti的Connect Secure和Policy Secure設備中的另外兩個零日漏洞——CVE-2023-46805和CVE-2024-21887，用於在受害系統上投放自定義Web Shell和其他「惡意軟體」。

UNC5221針對Ivanti以及其他組織對防火牆、VPN、路由器等邊緣設備的攻擊，凸顯了這些系統在攻擊者眼中的高價值。此類產品漏洞為威脅行為者提供途徑，使其能夠訪問企業網路中具高權限的系統，並作為進一步攻擊、橫向移動和數據竊取的跳板。

Mandiant的CTO Charles Carmakal警告：「UNC5221的最新活動突顯了中國相關間諜組織對全球邊緣設備持續攻擊。這些行為者將繼續研究安全漏洞，並為不支援EDR解決方案的企業系統開發自定義惡意軟體。中國網路間諜行為者的網路入侵活動速度持續增加，這些行為者比以往任何時候都更強大。」

Ivanti回應與安全建議

Ivanti的CSO Daniel Spicer表示，網路安全設備，特別是邊緣設備，是複雜且高度持久的威脅行為者的重點關注對象。Ivanti致力於向防禦者提供資料，確保他們能夠採取一切可能的步驟來保護其環境。Ivanti除了直接向客戶提供咨詢外，Ivanti還與其合作夥伴Mandiant密切合作，提供有關這一最近解決的漏洞的額外信息。

Spicer補充，CVE-2025-22457已在2025年2月11日發布的ICS 22.7R2.6中修復，按照Ivanti提供的指導在其設備上運行支持版本的客戶的風險已大大降低。Ivanti敦促使用受影響版本的Connect Secure的組織立即升級到2月發布的22.7R2.6版本。

組織如果發現其設備有被入侵的跡象，應該將其恢復出廠設置，並使用新的22.7R2.6版本將其重新佈署。該公司將於4月21日為受影響的Ivanti Policy Secure版本發布修補程式，並計劃於4月19日自動為Ivanti ZTA Gateway部署修補程式。

專家建議

網路安全公司watchTowr的專家對該漏洞和修補程式進行研究，並指出這一漏洞進一步證明，對關鍵任務設備漏洞的積極利用仍然是一個持續關注的問題。

安全專家建議組織採取以下措施來保護自己免受此類攻擊：

• 立即升級至最新的受支持版本
• 使用Ivanti提供的完整性檢查工具識別潛在的入侵
• 如果發現被入侵，進行設備的出廠重置
• 加強對邊緣設備的監控和防護
• 實施多層防禦策略，不僅依賴單一安全控制措施

資安研究人員強調，這種針對邊緣設備的攻擊趨勢預計將持續，組織需要保持高度警惕並定期更新其安全基礎設施。