Ivanti Connect Secure 栈缓冲区溢出漏洞（CVE-2025-0282）分析与复现

漏洞概述Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA gateways 是 Ivanti 公司推出的远程访问与安全连接解决方案主要提供 VPN、访问控制、流量加密等核心功能。其 IF-T/TLS 协议在认证阶段前存在栈缓冲区溢出漏洞攻击者可利用该漏洞实现未授权远程代码执行。该漏洞已被 APT 组织实际利用。Ivanti Connect Secure影响范围Ivanti Connect Secure22.7R2 ~ 22.7R2.4Ivanti Policy Secure22.7R1 ~ 22.7R1.2Ivanti Neurons for ZTA gateways22.7R2 ~ 22.7R2.3复现环境版本Ivanti Connect Secure 22.7R2.3环境搭建将 Ivanti Connect Secure 22.7R2.3 虚拟机镜像导入虚拟化平台并启动按照界面提示完成 IP 地址、管理员账号和密码等基础配置。配置完成后进入命令行界面可通过编号进行系统管理但无法直接执行底层 Shell 命令。Linux Operating System | CLI (Command Line Interface) and GUI (Graphic User Interface) - GeeksforGeeks同时在浏览器中使用 HTTPS 协议访问配置的 IP 地址可正常显示 Web 登录界面。Editing Ivanti Secure Access Client User Interface Labels获取系统文件与底层 Shell直接查看虚拟机磁盘文件并尝试挂载时发现文件系统已被加密无法通过常规方式获取系统文件。传统方案需逆向启动流程并破解解密算法但耗时较长。笔者采用了一种高效方法暂停虚拟机后直接修改内存文件将 /home/bin/dsconfig.pl 字符串替换为 ///////////////bin/sh该脚本为控制台界面调用的核心文件。替换完成后等待控制台超时按回车键即可获得底层 Shell。获取 Shell 后可执行任意系统命令。随后利用内置 Python 程序开启简单 Web 服务快速下载系统文件进行后续逆向分析。漏洞分析根据公开 POC该漏洞通过 HTTPS 协议触发定位目标进程为 /home/bin/web。逆向分析发现IF-T/TLS 协议在认证阶段会获取客户端属性字段clientIP、clientHostName、clientCapabilities 等并进行处理。在处理 clientCapabilities 属性值时程序使用 strncpy 进行复制但最后一个参数要复制的最大字节数错误地使用了从客户端获取的长度值加 1该值完全可被攻击者控制。Learn Buffer Overflows through Visuals | Lightfoot Labs而目的缓冲区dest是一个位于栈上的固定缓冲区最大长度仅为 256 字节。攻击者只需传入超过 256 字节的 clientCapabilities 属性值即可触发栈缓冲区溢出。溢出成功后可覆盖栈中保存的返回地址函数返回时程序控制流将被劫持至攻击者指定的内存地址从而执行任意代码。漏洞利用理论上覆盖返回地址即可实现代码执行但实际利用远非如此简单。主要面临以下挑战程序自身安全保护虚函数调用对象内存释放首先分析 /home/bin/web 的保护机制程序启用了NX不可执行栈和PIE位置无关可执行保护。溢出数据默认无法直接作为 shellcode 执行必须通过 ROPReturn-Oriented Programming技术绕过 NX。PIE 系统地址随机化导致内存地址不可预测。经分析未发现信息泄露路径但因程序为 32 位最多只需暴力尝试 65536 次2¹⁶即可破解 libc.so.6 的基地址。此外在到达被覆盖的返回地址前程序还会执行多处其他代码其中一个虚函数调用地址可能被溢出破坏导致程序提前崩溃。解决办法是在 libc.so.6 中搜索满足条件的虚函数调用地址确保控制流能正常到达后续 ROP 链。另外程序中存在一处释放 DSUtilMemPool 对象内存的代码该内存已被溢出覆盖会导致异常退出。通过将该对象指针设置为 -10xFFFFFFFF即可绕过释放操作。经过上述分析与精心布局最终的栈布局如下图所示通过以上栈布局设计溢出后的 clientCapabilities 数据可精准覆盖返回地址结合 ROP 技术最终实现任意代码执行。总结该漏洞利用链完整、条件苛刻但一旦突破即可获得高权限远程代码执行能力。建议受影响用户立即升级至安全版本并加强网络边界防护。