【安全资讯】Ivanti修复自三月中旬以来被利用的Connect Secure零日漏洞

概要：

Ivanti近日发布了安全更新，修复了一项严重的Connect Secure远程代码执行漏洞，该漏洞自2025年3月中旬以来被与中国相关的间谍组织利用。此漏洞被追踪为CVE-2025-22457，因其堆栈缓冲区溢出弱点而显得尤为危险。此次事件不仅影响了Ivanti的多个产品，还可能对用户数据安全构成重大威胁。

主要内容：

Ivanti在2025年2月11日发布了针对CVE-2025-22457的修复补丁，然而在此之前，该漏洞已被黑客组织UNC5221利用，进行高复杂度的攻击。该漏洞允许攻击者在不需要身份验证或用户交互的情况下，远程执行恶意代码。Ivanti最初将其标记为产品缺陷，但随着攻击证据的出现，Ivanti意识到该漏洞的严重性。

根据Mandiant和Google威胁情报组的研究，UNC5221利用该漏洞部署了两种新型恶意软件，分别是TRAILBLAZE和BRUSHFIRE。此外，UNC5221还利用了之前已知的SPAWN恶意软件生态系统。研究人员认为，攻击者可能通过复杂的过程研究了补丁，发现可以利用旧版本的Ivanti Connect Secure实现远程代码执行。

UNC5221自2023年以来一直针对网络边缘设备的零日漏洞进行攻击，近期还利用了其他Ivanti产品的漏洞进行恶意活动。CISA和FBI在2025年1月的警告中指出，攻击者仍在利用针对Ivanti云服务设备的漏洞进行入侵，显示出该组织的攻击活动仍在持续。Ivanti呼吁所有用户尽快更新至最新版本，以降低风险。