1 月 11 日,美國網路安全與基礎設施安全局 (CISA) (Known Exploited Vulnerabilities (KEV) catalog)新增了 Ivanti Connect Secure 和 Policy Secure 漏洞(編號為CVE-2024-21887和CVE-2023-46805)以及 Microsoft SharePoint Server 漏洞(編號為CVE- 2023-29357) 在其已知遭濫漏洞清單中。
1 月 10 日,軟體公司 Ivanti報告稱,駭客在利用其 Connect Secure (ICS) 和 Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。漏洞編號為 CVE-2023-46805,嚴重程度評分為 8.2。它允許駭客「透過繞過控制檢查來存取受限資源」。另一個漏洞 CVE-2024-21887 可協助攻擊者向設備發送命令,嚴重程度為 9.1。攻擊者可以連結這兩個漏洞,向未修補的系統發送特製請求並執行任意命令。
Ivanti 發布的公告,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用漏洞可不需要身份驗證,並使駭客能夠製作惡意請求並在系統上執行任意命令。該公司正在提供緩解措施,並確認正在開發安全修補程式,最終修補將於 2 月 19 日內發布。
另外,資安公司Volexity 研究人員觀察到駭客已積極在利用這兩個零日漏洞。2023 年 12 月,Volexity 調查了一次攻擊,攻擊者利用這些漏洞在多個內部和面向外部的 Web 伺服器上放置 Webshell。
此外新增至 CISA KEV 清單的第三個漏洞是 Microsoft SharePoint Server 權限升級漏洞CVE-2023-29357,未經身份驗證的攻擊者獲得偽造 JWT (JSON Web Token)身份驗證令牌存取權限,使用它們來執行繞過身份驗證的網路攻擊,並允許他們獲得經過身份驗證的用戶的權限。漏洞可允許未經身份驗證的攻擊者在成功利用不需要使用者互動的低複雜度攻擊後獲得管理權限。
根據約束性操作指令22-01( Binding Operational Directive 22-01 ) ,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB),都必須針對相關漏洞進行處理,在截止日期前解決已識別的漏洞,以保護其網路免受利用清單中的漏洞攻擊,專家也建議私人機構審查KEV清單並解決其基礎設施中的漏洞。
CISA 命令聯邦機構在 2024 年 1 月 31 日之前修復以上三個漏洞。
Ivanti Connect Secure漏洞的部分入侵指標(Indicator of compromise -IOCs):
206.189.208.156
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
75.145.243.85
71.127.149.194
173.53.43.7