-
09/04/2020
-
94
-
741 bài viết
Lỗ hổng zero-day trên Ivanti cho phép không cần xác thực hay tương tác từ người dùng
Lỗ hổng bảo mật nghiêm trọng CVE-2025-22457 trên Ivanti Connect Secure hiện đang bị một nhóm gián điệp được cho là có liên quan đến Trung Quốc khai thác. Chi tiết kỹ thuật và mã khai thác PoC đã được công bố trong bài viết này.
Các nhà nghiên cứu vừa công bố chi tiết kỹ thuật và mã khai thác (PoC) cho một lỗ hổng bảo mật nghiêm trọng trong sản phẩm Ivanti Connect Secure VPN, được định danh là CVE-2025-22457. Đây là một lỗ hổng tràn bộ đệm trên ngăn xếp (stack-based buffer overflow), hiện đang bị khai thác thực tế từ giữa tháng 3/2025 bởi nhóm gián điệp mạng UNC5221.
Lỗ hổng này nằm trong thành phần máy chủ web HTTP(S) của thiết bị Ivanti Connect Secure, cụ thể là trong tệp nhị phân /home/bin/web. Nguyên nhân đến từ việc xử lý tiêu đề HTTP, đặc biệt là X-Forwarded-For:
Kẻ tấn công có thể gửi tiêu đề X-Forwarded-For dài hơn 50 ký tự, dẫn đến tràn bộ đệm buff50 trên ngăn xếp. Mặc dù có kiểm tra sơ bộ bằng hàm strspn để giới hạn ký tự hợp lệ (chỉ gồm số và dấu chấm), nhưng không có giới hạn độ dài khi sao chép vào bộ đệm 50 byte bằng strlcpy. Lỗ hổng này cho phép thực hiện stack smashing, kể cả khi dữ liệu đầu vào bị giới hạn ký tự.
Các nhà nghiên cứu vừa công bố chi tiết kỹ thuật và mã khai thác (PoC) cho một lỗ hổng bảo mật nghiêm trọng trong sản phẩm Ivanti Connect Secure VPN, được định danh là CVE-2025-22457. Đây là một lỗ hổng tràn bộ đệm trên ngăn xếp (stack-based buffer overflow), hiện đang bị khai thác thực tế từ giữa tháng 3/2025 bởi nhóm gián điệp mạng UNC5221.
Lỗ hổng này nằm trong thành phần máy chủ web HTTP(S) của thiết bị Ivanti Connect Secure, cụ thể là trong tệp nhị phân /home/bin/web. Nguyên nhân đến từ việc xử lý tiêu đề HTTP, đặc biệt là X-Forwarded-For:
Kẻ tấn công có thể gửi tiêu đề X-Forwarded-For dài hơn 50 ký tự, dẫn đến tràn bộ đệm buff50 trên ngăn xếp. Mặc dù có kiểm tra sơ bộ bằng hàm strspn để giới hạn ký tự hợp lệ (chỉ gồm số và dấu chấm), nhưng không có giới hạn độ dài khi sao chép vào bộ đệm 50 byte bằng strlcpy. Lỗ hổng này cho phép thực hiện stack smashing, kể cả khi dữ liệu đầu vào bị giới hạn ký tự.
Nguy hiểm: Không cần xác thực hay tương tác từ người dùng
Ivanti ban đầu đánh giá lỗi này không thể khai thác từ xa, tuy nhiên, mã khai thác đã chứng minh điều ngược lại. Kẻ tấn công có thể:- Thực hiện chiếm quyền điều khiển dòng thực thi chương trình
- Không cần xác thực hoặc tương tác từ người dùng
- Khai thác dễ dàng từ xa
Các phiên bản bị ảnh hưởng
Lỗ hổng này ảnh hưởng đến nhiều sản phẩm Ivanti:- Ivanti Connect Secure: Phiên bản 22.7R2.5 trở về trước
- Pulse Connect Secure: 9.1R18.9 trở về trước (đã ngừng hỗ trợ)
- Ivanti Policy Secure: 22.7R1.3 trở về trước
- Ivanti Neurons for ZTA Gateways: 22.8R2 trở về trước
Giải pháp
Để đảm bảo an toàn hệ thống trước lỗ hổng nghiêm trọng CVE-2025-22457, Ivanti khuyến cáo:1. Cập nhật phần mềm kịp thời
- Ivanti Connect Secure: Đã được khắc phục trong phiên bản 22.7R2.6, phát hành vào tháng 2/2025. Người dùng cần nâng cấp ngay lên phiên bản này hoặc mới hơn.
- Ivanti Policy Secure: Bản vá chính thức dự kiến sẽ được phát hành vào ngày 21/04/2025.
- Ivanti Neurons for ZTA Gateways: Bản vá dự kiến được cung cấp vào ngày 19/04/2025.
2. Tăng cường giám sát và phát hiện sớm
- Sử dụng công cụ Integrity Checker Tool (ICT) để phát hiện các dấu hiệu xâm nhập hoặc thay đổi bất thường trong hệ thống.
- Theo dõi hoạt động của máy chủ web, đặc biệt là các hiện tượng treo, sập dịch vụ hoặc hiệu suất bất thường – có thể là dấu hiệu của việc bị khai thác.
3. Phục hồi hệ thống nếu bị tấn công
Trong trường hợp phát hiện hệ thống đã bị xâm nhập:- Thực hiện khôi phục cài đặt gốc (factory reset) để loại bỏ hoàn toàn mã độc hoặc các thay đổi không hợp lệ.
- Chỉ khôi phục cấu hình từ bản sao lưu đáng tin cậy, sau đó tiến hành cập nhật lên phiên bản phần mềm đã được vá trước khi đưa thiết bị vào hoạt động trở lại.
Theo Security Online