CVE-2025-0282

Ivanti Connect Secure, Policy Secure, and ZTA Gateways

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-01-08

Официальное описание

Ivanti Connect Secure, Policy Secure, and ZTA Gateways contain a stack-based buffer overflow which can lead to unauthenticated remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-0282 представляет собой критическую уязвимость типа «переполнение буфера в стеке» (Stack-based Buffer Overflow) в компонентах Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) и Ivanti Neurons for ZTA.

Уязвимость позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код (RCE) с правами root, отправив специально сформированные запросы на устройство. Поскольку эксплуатация возможна без аутентификации, риск компрометации инфраструктуры оценивается как критический (CVSS 9.8).

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки шлюзов до версий, в которых ошибка была исправлена.

  1. Перейдите на портал стандартной поддержки Ivanti (Ivanti Success Portal).
  2. Загрузите и установите соответствующие патчи для вашей версии продукта:
  3. Ivanti Connect Secure: версии 22.7R2.5, 22.7R2.4 и выше.
  4. Ivanti Policy Secure: версии 22.7R1.2 и выше.
  5. Ivanti Neurons for ZTA: версии 22.X и выше (обновление происходит через облачную консоль).

Для проверки текущей версии через CLI используйте:

get version

Временные меры

Если немедленное обновление невозможно, необходимо применить защитные механизмы для снижения риска эксплуатации:

  1. Импорт XML-файла с временным исправлением (Workaround): Ivanti выпустила специальный файл конфигурации, который блокирует уязвимые эндпоинты. Загрузите актуальный mitigation.release.202501.1.xml с портала Ivanti и импортируйте его: Maintenance -> Import/Export -> Import XML

  2. Проверка целостности системы (ICT): Запустите встроенный инструмент проверки целостности (Integrity Inventory Check), чтобы убедиться, что система не была скомпрометирована до установки патча:

/home/bin/check_integrity.sh

  1. Ограничение доступа: Настройте правила межсетевого экрана, чтобы ограничить доступ к веб-интерфейсу управления (Admin UI) и внешним интерфейсам шлюза только для доверенных IP-адресов.

  2. Мониторинг логов: Настройте алертинг на подозрительные запросы к веб-серверу и аномальную активность процессов с высокими привилегиями.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей