Ivanti 是网络设备系统性问题的问题还是症状？

快速阅读: 据《Cyber Scoop 独家新闻》称，网络安全公司Ivanti因其网络边缘设备的漏洞问题备受关注，成为攻击者的主要目标。尽管漏洞频发，但专家认为这反映了整体行业面临的挑战而非Ivanti独有的问题。Ivanti正加强安全措施，但漏洞带来的风险仍需行业共同努力解决。

网络边缘设备——即提供防火墙、虚拟专用网（VPN）和网络路由器功能的硬件——迅速成为攻击者入侵企业网络的主要目标。尽管有数十家公司生产和销售这些设备，但自去年年初以来，Ivanti 的客户遇到其产品被利用的漏洞次数超过该领域其他任何供应商。

在过去 16 个月里，Ivanti 在网络安全和基础设施安全局（CISA）的已知被利用漏洞（KEV）目录中出现的频率高于任何其他防火墙、VPN 或路由器供应商。网络安全机构证实，截至今年，攻击者已经利用了 Ivanti 产品的五个漏洞，自 2024 年初以来总计利用了十六个漏洞。

网络边缘设备——即提供防火墙、虚拟专用网（VPN）和网络路由器功能的硬件——迅速成为攻击者入侵企业网络的主要目标。尽管有数十家公司生产和销售这些设备，但自去年年初以来，Ivanti 的客户遇到其产品被利用的漏洞次数超过该领域其他任何供应商。

《CyberScoop》最近与专家交谈，以确定 Ivanti 的问题是否是公司自身特有的，还是技术本身固有的丰富目标，无论品牌如何。许多行业分析师、事件响应专家和漏洞研究人员拒绝批评 Ivanti 被攻击者利用的产品漏洞数量。然而，数据显示，Ivanti 是频繁发布高漏洞数量产品的重复违规者，其他专家将其列为对客户来说最麻烦且风险最高的供应商之一。

Ivanti 告诉《CyberScoop》，它强调在发现漏洞时尽可能多地发布信息，并致力于“设计即安全”的理念。它还指出，许多针对其产品的攻击是在漏洞披露并补丁发布后进行的。“Ivanti 认为透明度和主动漏洞管理对于建立信任和保障安全至关重要。CISA 明确表明，像 Ivanti 这样采用‘设计即安全’原则的公司，其漏洞数量（CVE）逻辑上会增加，”Ivanti 的一位发言人表示。

Ivanti 告诉《CyberScoop》，它强调在发现漏洞时尽可能多地发布信息，并致力于“设计即安全”的理念。它还指出，许多针对其产品的攻击是在漏洞披露并补丁发布后进行的。“还需承认的是，KEV 中包含的许多 CVE，包括大部分归因于 Ivanti 的 CVE，都不是零日漏洞，而是 n 日漏洞，在被利用前已被披露并修补，”发言人继续说道。“它们只有在威胁行为者逆向工程补丁以针对尚未应用补丁或使用过期系统的客户后才被添加到 KEV 中。”

过多的漏洞引发批评

CISA 的 KEV 清单并非 Ivanti 存在漏洞问题的唯一证据。近期全面的行业分析将 Ivanti 列为市场上最脆弱的技术供应商之一，这引发了任何依赖其产品的组织的重大担忧。

网络安全保险公司 Coalition 最近评估了 7,000 多家不同类型的技术供应商，并通过交叉参考 NIST 的国家漏洞数据库中的所有漏洞以及 NIST 共同平台枚举字典中的每个供应商来衡量它们的可利用性和风险。“在我们的研究中，我们在 Ivanti 的产品中发现了 201 个漏洞，这使其在可利用性加权后成为我们‘高风险技术排名’的第 10 名，”Coalition 的首席承保官 Tiago Henriques 表示。“这使其成为最脆弱的供应商之一。”

Coalition 根据产品或服务中每个漏洞被利用的可能性为其分配风险评分。通常拥有更多产品的供应商会获得更高的风险评分。科技巨头微软、谷歌和苹果位列 Coalition 风险最高的技术供应商榜首。

“由于 Ivanti 最近进入了我们的‘高风险技术排名’前十名，我们正在发出强烈的警告，”Henriques 说。“我们强烈建议公司在选择采用哪些技术时参考我们的排名，并确保其当前使用这些技术的用户已实施严格补丁流程。”

Ivanti 对 Coalition 报告的方法论及其得出的结论提出质疑。“这份名单惩罚了那些透明的供应商，这对行业不利，”Ivanti 的一位发言人表示。“行业的行动呼吁应该是更多的透明度，而不是更少。”

威胁情报公司 VulnCheck 维护着一个比 CISA 更大的已知被利用漏洞清单，确定 Ivanti 在 2024 年所有供应商中漏洞数量排名第三。“一个合理的结论是 Ivanti 产品中确实存在更多漏洞，”VulnCheck 首席技术官 Jacob Baines 表示。“这可能是内部软件实践的结果，也可能是因为基于其他公司收购的遗留软件构建，其中或许并未优先考虑所有版本的安全卫生。”

威胁情报公司 VulnCheck 维护着一个比 CISA 更大的已知被利用漏洞清单，确定 Ivanti 在 2024 年所有供应商中漏洞数量排名第三。研究人员称赞 Ivanti 的披露做法。

Mandiant 咨询公司的首席技术官 Charles Carmakal 告诉《CyberScoop》，关于 Ivanti 被攻击的频率与其它公司相比存在一种扭曲的看法。他强调了 Ivanti 的主动方法，指出从他的角度来看，“他们在分享有关活跃利用的情报方面做得非常好，而许多其他公司并不经常这样做。”

自 2021 年以来，Ivanti 一直与 Carmakal 和 Mandiant 合作进行事件响应和研究。专家们还强调，网络边缘设备的利用并非 Ivanti 独有。随着端点安全的成熟，高级威胁行为者越来越多地针对边缘设备发起攻击，这些设备通常不支持端点检测和响应（EDR）解决方案。这些设备通常在企业网络中占据较高的位置。

“检测和修复此类妥协需要相当高的专业水平，即使有安全解决方案在场，威胁行为者也在试图禁用或移除这些安全解决方案以制造盲区，”Carmakal 解释道。

Rapid7 的漏洞情报主管 Caitlin Condon 认为，将漏洞数量分配给供应商并不能准确衡量其风险或对安全的承诺。“我们希望主要根据供应商对重大事件的响应来判断他们，而不是技术中存在的漏洞，”她表示。

Rapid7 关注可能导致广泛妥协的漏洞，这些漏洞通常源于 Palo Alto Networks、Fortinet 和 Citrix 等流行产品的缺陷。Condon 警告不要假设 KEV 清单上的漏洞一定会导致大规模事件，因为其他漏洞被更频繁且更大规模地利用。

“仅仅因为一个漏洞出现在 KEV 上，并不意味着它一定会引发大规模事件，”她说。“我们看到其他漏洞被更频繁且更大规模地利用。”

为什么 Ivanti 在被利用的缺陷方面超越了更大的竞争对手

尽管攻击者聚焦于网络边缘设备，但 Ivanti 仍持续面临被积极利用的软件漏洞的一致和反复问题。这些漏洞的根本原因以及为何这些漏洞比竞争对手在 Ivanti 产品中被发现得更频繁，差异显著。

为什么 Ivanti 在被利用的缺陷方面超越了更大的竞争对手

安全专家指出，其中一个原因可能是研究人员，无论是在 Ivanti 内部还是外部，都在更加关注该公司的产品，从而发现了更多被积极利用的漏洞。“存在漏洞是正常现象，而热门技术往往是漏洞研究者的目标，”康顿说道。“还有一个放大效应在起作用——一旦一个高调的漏洞最终被列入已知利用漏洞（KEV）目录，那么可以肯定的是，会有更多的研究人员开始寻找该代码库中的其他热点漏洞。”

研究人员还提到，由于 Ivanti 的产品常被攻击者青睐的组织所使用，这也影响了在网络边缘设备领域市场份额较大的其他厂商。与被利用的 Ivanti 漏洞相关的一个最引人注目且可能造成严重损害的攻击事件涉及网络安全和基础设施安全局（CISA）自身。负责监督联邦政府网络安全状况的联邦机构在 2024 年 1 月遭遇了两个广泛利用的零日漏洞攻击，这些漏洞正是其当时使用的 Ivanti 产品中存在的。

在攻击发生但 CISA 尚未公开披露之前，该机构修改了一项先前发布的紧急指令，要求所有联邦机构从其网络中断开所有受影响的 Ivanti 产品实例。CISA 官员后来表示，他们无法排除此次攻击中化学设施数据被盗的可能性，并通知了代表超过 10 万人的组织可能存在数据泄露的情况。

这些针对 Ivanti 产品的攻击背后的团体的才能和动机——通常是受中国支持的间谍团体——是另一个影响因素。“我们看到中国方面有如此高的漏洞研究和利用开发速度，这些都用于间谍目的，并且被多个团体所利用，”卡马卡尔说道。“我们会继续看到这种情况，而且这不会局限于 Ivanti。”

Ivanti 相关攻击的模式最近披露的影响 Ivanti VPN 产品的漏洞——CVE-2025-22457——自 3 月中旬以来已被一个与中国有关联的间谍团体利用。该威胁团体，谷歌威胁情报小组追踪为 UNC5221，自 2023 年以来一直在反复攻击 Ivanti 客户。UNC5221 此前利用了 2023 年、2024 年以及今年早些时候披露的 Ivanti 产品的零日漏洞。

“几乎每一个 VPN 解决方案都会发布野外被利用的 CVE，通常最初作为零日漏洞被利用，之后则在某种程度上作为 n 日漏洞被利用，”卡马卡尔说道。“这个最新的漏洞非常复杂，难以利用。这不是一个简单或琐碎的漏洞。”

Ivanti 于 2 月 11 日在 Ivanti Connect Secure 中发布了 CVE-2025-22457 的补丁，但在 4 月 3 日才公开披露该漏洞。三天后，Shadowserver 扫描发现超过 5,000 个未修补的 Ivanti Connect Secure 实例。Mandiant 研究人员表示，他们不知道有多少组织受到 CVE-2025-22457 漏洞利用的影响，但已在多个行业发现了受害者，包括政府、国防和技术领域。

Gartner 副总裁分析师凯特尔·蒂勒曼表示，客户在处理大量漏洞时面临的负担范围和成本持续扩大。“最佳的方法是确保漏洞不被包含在内，要么通过采用安全设计原则，要么通过采用网络知情工程原则，但目前市场力量尚未对生产商施加足够的压力以促使它们采用这些原则，”她说。

“针对边缘设备的激进国家资助攻击是一个广泛且有据可查的行业挑战，并非 Ivanti 独有，”公司发言人说道。“为了应对这一威胁，Ivanti 构建了一个全面的安全计划，包括对专业人才、流程及合作伙伴关系进行有意义的投资，同时在相关威胁情报以及以客户为中心的工具（如完整性检查器工具和远程取证能力）方面开展合作，这些工具能够提升并及时提供对客户环境的可见性。”

尽管一些专家将频繁出现的 Ivanti 漏洞归咎于供应商，但其他人赞扬了该公司改善的努力，并认为 Ivanti 及其客户面临的挑战是整个行业的现象。“对我来说，这不是供应商的问题。这是对手的问题，”卡马卡尔说道。“这些攻击的频率和激烈的节奏突显了威胁行为者的严重性和复杂性，”他补充道，“我们应该小心不要轻易将其归因于受影响供应商的不足。”

(以上内容均由Ai生成)