黑客再次将 Ivanti VPN 用户作为攻击目标 – 以下是您需要了解的信息

快速阅读: 据《ITProPortal》称，伊维蒂修复了其VPN设备中的高危漏洞CVE-2025-22457，该漏洞自3月中旬起被中国关联的间谍组织UNC5221利用，实现远程代码执行并部署恶意软件。曼迪昂特和谷歌威胁情报小组提醒企业采取措施防止野外攻击。

伊维蒂重新修复了其连接安全VPN设备中的一个安全漏洞，该漏洞自至少三月中旬以来已被一个与中国有关的间谍组织利用。该漏洞编号为CVE-2025-22457，属于高危漏洞，影响伊维蒂连接安全设备（22.7R2.5及更早版本）、脉冲连接安全设备（9.1R18.9及更早版本，已于去年年底停止支持）、伊维蒂策略安全设备（22.7R1.3及更早版本）以及ZTA网关（22.8R2及更早版本）。在曼迪昂特发布的安全警告中，该公司表示已有证据显示该漏洞正在野外被积极利用，间谍组织成功实现了远程代码执行（RCE）并部署了恶意软件。

“成功利用后，我们观察到两个新识别的恶意软件家族的部署，分别是仅存在于内存中的释放器TrailblazeE和被动后门Brushfire，”曼迪昂特表示。“此外，还观察到了之前报告的Spawn恶意软件生态系统的部署，该生态系统与UNC5221相关。UNC5221是一个疑似与中国有关的间谍行为者，我们之前观察到它自2023年起就对边缘设备进行零日攻击。”

该漏洞是一个缓冲区溢出，字符空间有限，因此最初被认为是一个低风险的拒绝服务漏洞。但尽管伊维蒂在2月11日发布了补丁，曼迪昂特认为该组织能够分析补丁并找到方法利用22.7R2.5及更早版本实现远程代码执行。

获取每日ITPro新闻简报今天注册即可免费获得我们2025年未来聚焦报告的副本——根据700多位高管的领先指导，涵盖人工智能、网络安全和其他IT挑战。请向我发送来自其他Future品牌或赞助商的新闻和优惠信息。请代表我们值得信赖的合作伙伴或赞助商接收电子邮件。

“然而，伊维蒂和我们的安全合作伙伴现已了解到该漏洞可以通过复杂手段被利用，并已发现野外活跃利用的证据。”CISA对伊维蒂威胁作出响应

谷歌威胁情报小组（GTIG）表示，UNC5221在其行动中针对了多个国家和地区，并广泛使用了从被动后门到各种边缘设备上被篡改的合法组件等工具。该组织一贯成功且行动激进，GTIG认为其将继续追求对边缘设备的零日攻击。

“UNC5221的最新活动突显了全球范围内针对边缘设备的持续高级威胁。这一利用n日漏洞CVE-2025-22457的活动也凸显了像UNC5221这样的行为者对边缘设备的持续关注，利用深入的设备知识，并为其零日和如今的n日漏洞的历史添砖加瓦，”曼迪昂特表示。“这一活动与GTIG观察到的疑似与中国有关的间谍组织的广泛策略一致，这些组织在关键边缘基础设施的漏洞开发和定制恶意软件方面投入了大量资源。”

美国网络安全和基础设施安全局（CISA）已向面临风险的企业发布警告。除了应用相关安全补丁外，该机构敦促组织运行外部完整性检查工具（ICT），并对任何连接到或最近连接到受影响伊维蒂设备的系统进行威胁搜寻操作。为了最大程度的信心，他们应进行出厂重置。

更多来自ITPRO

插入故事链接

插入故事链接

插入故事链接

插入故事链接

插入故事链接

主题漏洞

(以上内容均由Ai生成)