Pulse Secure / Connect Secure / Ivanti 边界设备高危攻击链专题

Pulse Secure / Connect Secure / Ivanti 边界设备高危攻击链专题

Pulse Secure Connect Secure 及其后续品牌形态 Ivanti Connect Secure,是近几年最值得重点跟踪的边界设备产品线之一。它之所以重要,不只是因为单个 CVE 很高危,而是因为这条产品线已经连续多年反复出现:

  • 预认证文件读取
  • 认证绕过
  • 命令注入
  • 未授权远程代码执行
  • 补丁后仍需处理的持久化与残留风险

如果从攻击者视角看,这类设备天然就是高价值目标,因为它们通常承担:

  • 远程办公入口
  • VPN 会话建立
  • 身份接入与策略控制
  • 对内网资源的桥接

一旦失陷,攻击者拿到的不是一台普通 Web 服务器,而是企业远程接入边界本身。

0x01 为什么这条产品线要按“家族专题”而不是单篇 CVE 来写

Pulse Secure -> Ivanti Connect Secure 的风险不是一次性的。过去几年公开事件已经证明,这条产品线呈现出很强的连续性:

  1. 先用预认证读取类漏洞拿配置、会话或凭据
  2. 再用认证绕过或命令注入扩大为未授权设备控制
  3. 后续植入后门、篡改合法组件、建立持久化
  4. 即使补丁上线,也常常还要继续处理历史残留

因此,单篇漏洞文适合记录某一条代表性利用链,但如果要让知识库真正方便查找和长期维护,就更应该补一篇产品线级专题,把多年攻击演进串起来。

0x02 阶段一:2019-2021 年,从预认证文件读取到国家级实战利用

1. CVE-2019-11510:把“预认证文件读取”变成初始突破入口

CVE-2019-11510 是这条产品线最具代表性的历史节点之一。它本质上是预认证任意文件读取问题,攻击者无需登录,就可能读取设备上的敏感文件与会话相关信息。

单从漏洞类型看,它不像典型 RCE 那样“直接执行命令”,但边界设备上的文件读取非常危险,因为它可能帮助攻击者拿到:

  • 会话令牌
  • 配置文件
  • 用户与认证相关信息
  • 后续进入系统所需的关键材料

这类漏洞最典型的 weaponization 方式,不是当场弹 shell,而是“先拿钥匙,再用合法入口进门”。

2. 2020 年的后续能力补链

后续公开资料表明,攻击者会把 CVE-2019-11510 与其他后认证或设备控制类能力组合使用。像 CVE-2020-8243CVE-2020-8260 这类后续利用点,并不是孤立存在,而是帮助攻击者把最初的读取和入口,升级为:

  • 更稳定的设备控制
  • 合法组件篡改
  • 持续访问能力

3. CVE-2021-22893:从边界突破走向更高强度利用链

CVE-2021-22893 是这条产品线的又一个关键转折点。公开威胁情报明确指出,它与前述历史漏洞共同构成了完整的入侵链,真实攻击者会利用这些能力在设备上落地后门、绕过 MFA、窃取口令并实现持续访问。

也就是说,2021 年之后,这条产品线已经不再只是“有几个高危漏洞”,而是形成了非常成熟的:

  • 初始访问
  • 权限扩展
  • 组件篡改
  • 凭据窃取
  • 持久化

一体化攻击模式。

4. 这一阶段最重要的启示

Pulse Secure 早期阶段最值得知识库保留的结论是:

  • 预认证读取类漏洞在边界设备上同样可能造成接近 RCE 级别的实战影响
  • 攻击者会把多个“单看未必最致命”的漏洞串成完整利用链
  • VPN 设备一旦沦为入口,后续对 AD、凭据与内网接入的威胁会迅速放大

0x03 阶段二:2023-2024 年,教科书级未授权 RCE 漏洞链

1. CVE-2023-46805 + CVE-2024-21887:访问控制缺陷与命令注入叠加

到了 2023-2024 阶段,这条产品线出现了更典型的未授权 RCE 漏洞链:

  • CVE-2023-46805
  • CVE-2024-21887

前者让攻击者能够绕过原本的访问控制,命中受限管理接口;后者再把这些高权限管理接口升级成系统命令执行面。

这条链的意义在于,它不再需要攻击者先拿到账号、会话或其他入口,而是可以直接从互联网对设备打出未授权控制。

2. 为什么这条链如此典型

它几乎具备边界设备 0day 的所有典型特征:

  • 发生在远程接入设备
  • 发生在互联网暴露的管理 / 接入链路
  • 利用链不依赖用户交互
  • 一旦命中就会直达高权限控制面

而且公开披露时,这条链已经明确存在在野利用,不是“理论高危”。

3. 公开事件说明攻击者已经高度武器化

VolexityMandiantCISA 的公开资料都显示,这次事件里攻击者并不只是简单验证漏洞,而是已经形成成熟的后门与持久化生态,包括:

  • GLASSTOKEN
  • GIFTEDVISITOR
  • LIGHTWIRE
  • CHAINLINE
  • BUSHWALK
  • ZIPLINE
  • THINSPOOL
  • WARPWIRE

这说明对攻击者而言,目标早已不是“验证某个 PoC 能不能跑通”,而是把设备打造成长期可控的边界落点。

4. 检测与应急为什么特别棘手

这一阶段还有一个非常关键的现实问题:公开资料已经明确指出,攻击者会对完整性检测工具和日志进行对抗,包括:

  • 篡改合法组件
  • 修改 ICT 结果
  • 清空或关闭日志
  • 用看起来正常的资源文件伪装后门

所以在这类场景里,“工具看起来没报异常”不能直接等价于“设备没有被入侵”。

0x04 阶段三:2025 年以后,风险并没有结束

1. CVE-2025-0282:未授权栈溢出 RCE 再次出现

到了 2025 年,这条产品线并没有进入“补丁期结束、风险归零”的状态,反而又出现了新的高危问题,例如:

  • CVE-2025-0282

这类漏洞再次回到未授权 RCE 级别,说明攻击者和研究者都仍在持续围绕同一暴露面寻找新入口。

2. CVE-2025-22457:同类边界设备依旧被持续武器化

公开资料还显示,CVE-2025-22457 同样属于这一连续风险的一部分。对知识库来说,这类信息最有价值的不是单个编号,而是它再次印证了一个事实:

  • 这条产品线的风险是“连续多年重复出现”
  • 老旧分支、尤其 EoS 设备会长期积累成为高风险遗留面

3. EoS 设备问题会把风险继续放大

边界设备和普通服务器不同,很多组织在 VPN 设备上更容易出现:

  • 设备长期运行
  • 版本升级滞后
  • 厂商支持结束后仍继续暴露公网

这意味着即使新漏洞已经修补,历史遗留的 Pulse 9.x、旧版 Connect Secure 等实例,仍然可能成为未来利用活动的重点目标。

0x05 攻击链抽象:这条产品线的共性模式

2019-2025 的公开事件串起来,可以抽象出一条很清晰的家族攻击链:

  1. 攻击者先利用预认证读取、认证绕过或边界逻辑缺陷获得初始立足点。
  2. 然后命中命令注入、后认证控制面或组件篡改路径。
  3. 进一步窃取会话、配置、私钥、证书和凭据。
  4. 在设备上植入被动后门、隧道组件或伪装资源文件。
  5. 篡改完整性检查或日志,拖延发现时间。
  6. 把设备作为进入内网与长期潜伏的边界跳板。

这条链最关键的地方在于:攻击者不一定每一步都需要“单个完美 RCE”。只要掌握:

  • 读取
  • 认证绕过
  • 受限接口命中
  • 合法组件篡改

中的若干环节,就足以把 VPN 设备做成长期入口。

0x06 POC 与验证思路

出于安全考虑,这里不提供可直接攻击公网目标的 exploit 代码,只保留研究和蓝队自查视角下的验证思路。

防守型验证重点

建议优先确认:

  1. 是否仍在运行 Pulse Secure / Connect Secure / Ivanti Connect Secure 暴露实例。
  2. 设备版本是否处在已知受影响范围或历史高危分支。
  3. 设备是否曾在历史漏洞公开时长时间对公网暴露。
  4. 是否已经对照厂商和 CISA 指南完成过离线核查与恢复步骤。
  5. 是否存在异常组件、异常出站连接、日志缺失和完整性检查异常。

一个非常关键的原则

对这条产品线来说,“现在已经打了补丁”只能说明:

  • 新的同路径利用难度提高了

但不能说明:

  • 之前从未被利用
  • 当前系统没有被篡改
  • 凭据、证书和配置没有被导出过

0x07 高级利用姿势

1. 先拿配置与会话,再做后续控制

这条产品线的很多高危事件都说明,攻击者最常见的第一目标并不是炫技式命令执行,而是:

  • 会话材料
  • 配置文件
  • 私钥和证书
  • 远程接入策略

因为这些内容会直接决定后续能否更隐蔽地继续进入内网。

2. 伪装成正常组件是核心 weaponization 方式

公开案例显示,攻击者常常不依赖简单粗暴的新文件落地,而更喜欢:

  • 篡改 CGI
  • 篡改登录脚本
  • 写入 .egg
  • .css、图片或静态资源做伪装

这种方式比经典 WebShell 更适合设备环境,也更难被普通巡检发现。

3. 与完整性检测对抗,是这条产品线最值得记录的特征

不少 Web 漏洞文章只会写“落 WebShell、看日志、删文件”,但 Pulse/Ivanti 这一家族的高级利用已经明显走得更远:

  • 对检测工具做欺骗
  • 对日志做清理
  • 对合法组件做补丁式篡改

这类对抗能力说明其威胁等级已接近成熟的长期渗透行动,而不是普通扫描器驱动的随机打点。

4. 补丁后残留风险是应急里的关键难点

边界设备专题里最容易被低估的一点是:

  • 补丁阻断的是“继续从同一漏洞进来”
  • 不是“自动清除已经留在设备里的东西”

因此只要设备曾在高危窗口暴露,就不能只满足于“版本合规”,而必须继续追问:

  • 有没有残留后门
  • 有没有凭据泄露
  • 有没有把设备当作跳板的痕迹

0x08 日志痕迹与应急排查

1. 日志缺失本身就是线索

在这条产品线的公开事件里,一个反复出现的现象是:

  • 日志被关闭
  • 日志被清空
  • 关键取证线索被主动破坏

因此对于 Pulse/Ivanti 设备,不能因为“没看到明显攻击日志”就轻易下结论。

2. 高优先级排查对象

应重点检查:

  • 合法 CGI 是否被改写
  • 登录脚本与静态资源是否被篡改
  • 是否存在异常 .egg.css、图片或脚本
  • 是否有异常出站连接与隧道行为
  • 是否出现无法解释的远程接入异常

3. 完整性工具只能作为一个信号源

公开资料已经证明,完整性检查工具在这类事件中并不是绝对可靠。因此更稳妥的做法是:

  • 结合厂商恢复指南
  • 结合离线检查
  • 结合网络、日志、文件与会话行为
  • 结合后续内网横向动作一起判断

4. 应急处置应按“边界设备已失陷”标准执行

若设备曾在高危时间窗暴露,且版本滞后或异常行为明显,建议优先按已失陷事件处置:

  • 限制设备对外和对内连接
  • 保全日志、镜像与配置
  • 轮换用户与服务账号口令
  • 更换证书与私钥
  • 评估是否需要重建而不是原地修复

0x09 修复与缓解建议

1. 立即对照厂商公告核对版本

不能只凭“这是新品牌还是旧品牌”判断安全,而应逐项核对:

  • Pulse Secure
  • Connect Secure
  • Ivanti Connect Secure

在不同年份对应的受影响版本与修复版本。

2. 不把补丁等同于清理

对于疑似受影响设备,补丁只能作为止血动作,不能代替:

  • 残留植入排查
  • 凭据轮换
  • 证书替换
  • 设备重建

3. 对 EoS 设备尽快淘汰

仍在运行旧版 Pulse 9.x 或历史遗留分支的设备,风险显著更高。对这类设备,正确策略不是“尽量再撑一阵”,而是尽快下线、迁移或替换。

4. 强化远程接入设备的长期监测

后续治理建议包括:

  • 收缩公网暴露面
  • 强化 MFA
  • 对边界设备出站行为做基线化监控
  • 对远程接入异常与内网异常登录建立关联告警

0x0A 参考资料