美国软件巨头Ivanti公司警告说,其广泛使用的企业 VPN 设备中的一个零日漏洞已被人利用,入侵了其企业客户的网络。
Ivanti公司周三表示,这个被追踪为CVE-2025-0282的关键级漏洞可以在没有任何身份验证的情况下被利用,在Ivanti的Connect Secure、Policy Secure和ZTA网关产品上远程植入恶意代码。Ivanti表示,其Connect Secure远程访问VPN解决方案是 “各行各业各种规模的组织采用最广泛的SSL VPN”。
这是近年来针对Ivanti产品的最新安全漏洞。去年,这家技术制造商承诺彻底改革其安全流程,因为黑客瞄准了其几款产品中的漏洞,对其客户发动了大规模黑客攻击。
该公司表示,在其Ivanti Integrity Checker Tool(ICT)标记出一些客户设备上的恶意活动后,公司意识到了最新的漏洞。
在周三发布的一篇咨询文章中,Ivanti证实威胁行为者正在积极利用CVE-2025-0282“零日漏洞”,这意味着该公司在漏洞被发现和利用之前没有时间对其进行修复,而且该公司知道 “有限数量的客户 ”的 Ivanti Connect Secure 设备遭到了黑客攻击。
Ivanti表示,Connect Secure目前有一个补丁,但Policy Secure和ZTA Gateways的补丁要到1月21日才会发布,这两个补丁都没有确认可利用性。
该公司表示,它还发现了第二个漏洞,被追踪为CVE-2025-0283,但尚未被利用。
Ivanti没有透露有多少客户受到黑客攻击的影响,也没有透露谁是幕后黑手。
与微软研究人员一起发现该漏洞的事件响应公司Mandiant在周三晚些时候发表的一篇博文中称,其研究人员早在2024年12月中旬就观察到黑客利用Connect Secure零日漏洞。
Mandiant称,虽然它无法将漏洞利用归因于某个特定的威胁行为体,但它怀疑是一个与中国有关联的网络间谍组织——它的代号为UNC5337和UNC5221。Mandiant在周三的博文中说,这与2024年利用Connect Secure中的两个零日漏洞对Ivanti客户发起大规模黑客攻击的威胁组织活动群组如出一辙。
安全研究公司watchTowr Labs首席执行官本·哈里斯(Ben Harris)在一封电子邮件中告诉TechCrunch,该公司已经看到了Ivanti VPN最新漏洞造成的 “广泛影响”,并且 “整天都在与客户合作,确保他们意识到这一点”。
哈里斯补充说,这个漏洞非常令人担忧,因为这种攻击 “具有[高级持续威胁]使用零日攻击关键任务设备的所有特征”,他敦促所有人 “请认真对待这个问题”。
英国国家网络安全中心在一份公告中说,它正在 “调查影响英国网络的主动利用案件”。美国网络安全机构CISA也将该漏洞添加到其已知漏洞目录中。