关键信息总结 漏洞概述 CVE编号: CVE-2025-4227 漏洞类型: Endpoint Traffic Policy Enforcement 中的干预 描述: 由于在Endpoint Traffic Policy Enforcement功能中存在一个错误,攻击者可以通过物理访问网络来劫持设备并拦截这些数据包。正常情况下,GlobalProtect App会自动丢弃未被正确封装的数据包。 影响范围 受影响版本: - GlobalProtect App 6.3: = 6.3.2.5667 on Windows, macOS; >= 6.3.3 n1 (ETA: 12 June, 2025) on Windows, macOS - GlobalProtect App 6.2: >= 6.2.8 h2 (ETA: June, 2025) on Windows, macOS 严重性和紧急性 CVSS评分: - CVSS v3.0: 3.3 (低) - CVSS v2.0: 2.0 (低) 紧急性: 减少 解决方案 1. 升级到不受影响的GlobalProtect App版本。 2. 确保Endpoint Traffic Policy Enforcement设置为"All Traffic"。 3. 在GlobalProtect Portal中启用"Allow Gateway Access from GlobalProtect Only"(需要配置版本6977或更高)。 4. 提交更改。 缓解措施和变通方法 当解决方案与Autonomous Digital Experience Management (ADEM)冲突时,可采取以下缓解措施: - ADEM功能依赖于ICMP协议,必须在安全隧道之外可见。当"Allow Gateway Access from GlobalProtect Only"设置为"Yes"且Endpoint Traffic Policy Enforcement配置为"All TCP/UDP Traffic"时,ADEM将无法正常工作,因为ICMP和其他非TCP/UDP流量会被拦截。 - 可通过将Endpoint Traffic Policy Enforcement更改为"All TCP/UDP Traffic"来解决此问题,但这将允许ICMP和其他非TCP/UDP流量通过,可能导致其他问题。