為了應對受入侵的 Ivanti VPN 設備造成的重大威脅和重大安全漏洞風險,CISA採取了史無前例的舉措,要求聯邦機構在48 小時內斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有實例。
CISA 已命令美國聯邦機構在周六之前斷開所有易受多個活躍漏洞攻擊的 Ivanti Connect Secure 和 Policy Secure VPN 設備的連線。該機構在一份新的緊急指令中表示:“盡快且不晚於2024 年2 月2 日星期五晚上11:59,斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例與機構網路的連接” ,該指令加大了壓力幫助防禦者緩解至少三個在被積極利用的 Ivanti 安全漏洞。
CISA 正在推動聯邦民事行政部門 (FCEB) 機構“繼續對連接到或最近連接到受影響的 Ivanti 設備的任何系統進行威脅搜尋”,並監控可能暴露的身份驗證或身份管理服務。該機構表示,聯邦網路管理員還必須在 48 小時內最大程度地將系統與任何企業資源隔離,並繼續審核特權等級存取帳號。為了使產品重新投入使用,CISA 表示,各機構需要匯出設備配置設定,按照 Ivanti 的說明完成出廠重置,並重建設備並升級到完全修補的軟體版本。
自去年 12 月以來,中國國家級駭客已經利用了至少兩個 Ivanti Connect Secure 漏洞,分別為 CVE-2023-46805 和 CVE-2024-21887。 Ivanti 週三表示,它還發現了兩個額外的漏洞——CVE-2024-21888 和 CVE-2024-21893——後者已經被用於「有針對性的」攻擊。 CISA 先前表示,它還觀察到一些針對聯邦機構的初步目標。
Ivanti 記錄了四個獨立的漏洞:
- CVE-2023-46805 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure 的 Web 元件中存在驗證繞過漏洞,允許遠端攻擊者繞過控制檢查來存取受限資源。 CVSS 嚴重性評分為8.2,已確認為被利用零日漏洞。
- CVE-2024-21887 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的命令注入漏洞允許經過驗證的管理員發送特製請求並在裝置上執行任意命令。該漏洞可透過網路被利用。 CVSS評分為 9.1並已確認被利用。
- CVE-2024-21888 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure(9.x、22.x)的 Web 元件中存在權限提升漏洞,允許使用者將權限提升至行政人員,CVSS 評分為8.8。
- CVE-2024-21893 — Ivanti Connect Secure(9.x、22.x)、Ivanti Policy Secure(9.x、22.x)和 Ivanti Neurons for ZTA 的 SAML 元件中存在伺服器端請求偽造漏洞,允許攻擊者無需身份驗證即可存取某些受限資源。 CVSS 嚴重性評分 8.2並已確認有針對性的利用。
Ivanti還警告說,情況仍在不斷發展,多個威脅行為者迅速調整其策略、技術和程序,以在其活動中利用這些漏洞。Ivanti稱,CVE-2024-21893 的利用似乎是有針對性的。 Ivanti 預計威脅行為者會改變他們的行為,並且預計一旦該資訊公開,利用行為就會急劇增加。Ivanti 表示,情況仍在不斷發展,將隨著更多資訊的出現,更新其知識庫文章,該軟體公司建議透過下載入口網站匯入「mitigation.release.20240126.5.xml」檔案作為解決 CVE-2024-21888 和 CVE-2024-21893 的臨時解決方法。
三週前,Volexity 首次發現了對這些漏洞的利用,並警告說,中國政府支持的 APT 駭客團隊UNC5221已經建立了一條漏洞鏈來入侵美國組織。 資安公司 Volexity 的創辦人 Steven Adair表示,迄今為止,至少 2,200 台 Ivanti 設備已遭到入侵。這比該公司本月稍早追蹤的 1,700 人增加了 500 人,不過 Volexity 指出「總數可能要高得多」。
資安業者Mandiant則透露駭客透過自動化方法進行的「廣泛的利用活動」,並指出與中國有關的駭客早在 2023 年 12 月 3 日就已經發現了這些漏洞。《安全周刊》消息人士稱,網絡犯罪組織已利用公開的漏洞部署加密器和後門。
Ivanti Connect Secure VPN的部分入侵指標(Indicator of compromise -IOCs):