官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
漏洞概况
Ivanti公司已发布安全更新,修复其Neurons for ITSM(IT服务管理)解决方案中存在的一处关键身份验证绕过漏洞。该漏洞可能使未经身份验证的攻击者获取受影响系统的管理员权限。
该漏洞于2025年5月13日披露,仅影响本地部署实例,CVSS评分为9.8分,表明其严重性极高。漏洞编号为CVE-2025-22462,影响Ivanti Neurons for ITSM 2023.4、2024.2、2024.3及更早版本。
风险分析
根据Ivanti的安全公告,成功利用该漏洞可使远程攻击者获取受影响系统的管理员权限,但实际风险因系统配置而异。
"遵循Ivanti关于保护IIS网站安全建议,并将访问限制在有限IP地址和域名范围内的客户,其环境面临的风险较低。"Ivanti在公告中表示。
公司还指出,为外部用户访问配置了DMZ(隔离区)的客户面临的风险也相对较低。安全补丁现已通过Ivanti下载门户提供,每个受影响版本都有对应的更新包。
| 产品名称 | 受影响版本 | 修复版本 | 补丁获取方式 |
|---|---|---|---|
| Ivanti Neurons for ITSM(仅本地部署) | 2023.4 | 2023.4 2025年5月安全补丁 | 可通过ILS下载 |
| Ivanti Neurons for ITSM(仅本地部署) | 2024.2 | 2024.2 2025年5月安全补丁 | 可通过ILS下载 |
| Ivanti Neurons for ITSM(仅本地部署) | 2024.3 | 2024.3 2025年5月安全补丁 | 可通过ILS下载 |
风险评分调整
虽然基础CVSS评分显示该漏洞为严重级别(9.8分),但Ivanti为已实施推荐安全配置的组织提供了6.9分(中等级别)的环境评分:
- 已将 IIS 访问限制在内网和特定 IP
- 将解决方案部署在 DMZ 区域
- 仅允许高权限内部用户登录
这一调整后的评分反映了ITSM实例仅通过网络限制或其他控制措施对高权限用户开放的环境。
漏洞背景
Ivanti表示,在披露时尚未发现针对客户的主动攻击证据。该漏洞是通过Ivanti的负责任披露计划发现的。这是过去一年影响Ivanti产品的系列安全问题中的最新一起。
2025年4月,Ivanti曾披露其Connect Secure VPN设备中的一个关键漏洞(CVE-2025-22457),该漏洞当时正被疑似与中国有关联的威胁行为者积极利用。同年3月,公司还修复了Standalone Sentry和Neurons for ITSM中可能导致命令执行的关键漏洞。
修复建议
使用受影响版本Ivanti Neurons for ITSM的组织应立即应用可用的安全补丁。对于无法立即打补丁的用户,实施推荐的缓解措施(包括保护IIS网站安全、按IP地址和域名限制访问、确保正确的DMZ配置)有助于降低风险敞口。
参考来源:
Critical Ivanti ITSM Vulnerability Let Remote Attacker Gain Administrative Access
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)