標籤: CISA

美國網路安全暨基礎設施安全局（CISA）近日正式警告，一項影響 VMware vCenter Server 的關鍵遠端程式碼執行（RCE）漏洞 CVE-2024-37079 已在實際攻擊中遭到利用，並要求美國聯邦政府機構必須在 三週內完成修補，否則將違反強制性營運指令（BOD）。

該漏洞已於 2024 年 6 月由 Broadcom 修補，成因為 vCenter Server 在 DCERPC 協定實作中的 Heap Overflow（堆積溢位）弱點。vCenter Server 為 VMware vSphere 的核心管理平台，廣泛用於管理 ESXi 主機與虛擬機，一旦遭入侵，等同掌控整個虛擬化環境。

低門檻、高衝擊的 RCE 風險

根據技術分析，攻擊者僅需具備網路連線存取權限，即可透過傳送特製封包觸發漏洞，直接在目標 vCenter Server 上執行任意程式碼。

此攻擊不需帳號權限、不需使用者互動，攻擊複雜度極低，對企業與政府機構而言風險極高。

Broadcom 亦明確指出，CVE-2024-37079 並無任何替代性緩解措施或暫時性防護方式，唯一可行的處理方式即為立即升級至最新版本的 vCenter Server 或 Cloud Foundation。

CISA 列入「已遭實際利用漏洞清單」

CISA 已於上週五將 CVE-2024-37079 納入其「已在野外遭利用漏洞清單（Known Exploited Vulnerabilities, KEV）」，並依據 BOD 22-01 要求所有聯邦民用行政機構（FCEB）最晚須於 2 月 13 日前完成修補。

FCEB 機構包含美國國務院、司法部、能源部與國土安全部等非軍事行政單位。

CISA 強調：

「此類漏洞是惡意行為者最常利用的攻擊途徑之一，對整體政府體系構成重大風險。請依照供應商指引完成修補，遵循 BOD 22-01 對雲端服務的相關要求，若無可行緩解措施，應立即停止使用該產品。」

Broadcom 證實漏洞已遭攻擊者利用

同日，Broadcom 更新原始公告並證實，已掌握 CVE-2024-37079 在實際環境中遭濫用的情資，進一步印證該漏洞的即時威脅性。

VMware 產品成為高價值攻擊目標的趨勢

值得注意的是，這並非個案。

2024 年 10 月，CISA 亦曾要求美國政府機構緊急修補 VMware Aria Operations 與 VMware Tools 中的高風險漏洞 CVE-2025-41244，該漏洞自 2024 年 10 月起即遭中國駭客以零時差攻擊方式利用。

此外，Broadcom 在去年亦陸續修補多項由 美國國安局（NSA） 與 Microsoft 回報、且已被實際利用的 VMware 零時差漏洞，涵蓋 NSX 與多項核心元件。

資安觀點

從近期趨勢來看，VMware 核心管理元件已明確成為國家級與進階威脅行為者的重點攻擊目標。

對企業與關鍵基礎設施而言，vCenter Server 不再只是 IT 管理工具，而是高風險、必須被納入關鍵資產防護與弱點即時修補流程的核心系統。

延遲修補，等同將整個虛擬化環境暴露在可被遠端全面接管的風險之中。

美國網路安全暨基礎設施安全局（CISA）近日更新其 Known Exploited Vulnerabilities（KEV） 目錄，將來自 Cisco、SonicWall 以及 ASUS 的多項重大漏洞正式納入，並明確指出：這些漏洞已被攻擊者用於真實入侵行動中。

這項更新再次證實，威脅者正持續鎖定企業邊界設備、遠端存取系統與更新機制作為突破口，快速取得高權限存取。

---

 本次列入 KEV 的關鍵漏洞

CISA 公告新增以下三項高風險漏洞：

•  CVE-2025-20393（CVSS 10.0）
  Cisco 多項產品遠端指令執行漏洞
•  CVE-2025-40602（CVSS 6.6）
  SonicWall SMA1000 授權不足導致權限提升
•  CVE-2025-59374（CVSS 9.3）
  ASUS Live Update 供應鏈惡意程式碼風險

上述漏洞的共同特徵是：
一旦被利用，攻擊者即可取得系統最高權限，並建立長期控制能力。

---

Cisco：郵件閘道設備遭實戰攻擊，Root 權限淪陷

Cisco 證實，自 12 月中旬起，攻擊者針對對外開放特定連接埠的 Secure Email Gateway 與 Secure Email and Web Manager 發動攻擊，利用 CVE-2025-20393：

• 直接遠端執行任意指令
• 取得 root 權限
• 於設備內植入持久化後門

這類郵件閘道設備位於企業防線最前端，一旦失守，極可能被用作：

• 郵件監控與竊取
• 惡意信件轉送平台
• 內網橫向移動跳板

---

SonicWall：零時差漏洞鏈結，繞過驗證直攻核心

SonicWall 指出，CVE-2025-40602 已遭零時差攻擊利用，並與另一高風險漏洞 CVE-2025-23006（CVSS 9.8） 結合，形成完整攻擊鏈，使攻擊者可：

在未驗證情況下，遠端取得 root 權限執行能力。

雖然該漏洞不影響 SonicWall 防火牆產品，但 SMA1000 常部署於 VPN 與遠端存取場景，其失守意味著：

攻擊者可能直接進入企業內網核心。

---

ASUS：供應鏈幽靈再現，ShadowHammer 陰影未散

CVE-2025-59374 則再次提醒企業，供應鏈風險從未遠離。
該漏洞源於 ASUS Live Update 更新機制遭植入惡意程式碼，與 2019 年曝光的 ShadowHammer 行動高度相關：

• 官方更新被竄改
• 僅針對特定 MAC 位址用戶下手
• 利用「信任的更新機制」投遞後門

儘管問題已修補，但 Live Update 已於 2025 年底終止支援，仍可能存在遺留風險系統。

---

強制時程：聯邦機構限期修補

依據 CISA 的 BOD 22-01：

• 2025/12/24 前：完成 Cisco、SonicWall 漏洞修補
• 2025/01/07 前：完成 ASUS 漏洞處置

CISA 同步建議民間企業比照辦理，將 KEV 清單視為優先修補名單。

---

情資解讀：KEV = 攻擊者的「已驗證武器清單」

從防禦角度來看，KEV 目錄的意義在於：

這些漏洞不只是理論風險，而是已被攻擊者驗證、可穩定得手的武器。

對企業而言，這代表：

• 不修補 ≈ 接受被入侵的高度機率
• 延遲處理 ≈ 將風險留給攻擊者選擇時間

---

 行動建議

1.  立即盤點是否使用相關產品
2.  優先套用修補或升級版本
3.  回溯設備日誌，確認是否已有異常行為
4.  強化邊界設備存取控管與監控
5.  將 KEV 納入日常弱點管理流程

---

 結語

在當前威脅環境下，真正的問題已不是「會不會被利用」，
而是：你的環境是否正好符合攻擊者最愛的條件？

美國網路安全暨基礎設施安全局（CISA）近期發布重大警訊，揭露中國駭客正悄悄在 VMware vSphere 伺服器裡「蓋暗房」，即在伺服器內暗中建立「隱藏版虛擬機（rogue VMs）。駭客利用名為 Brickstorm 的惡意程式植入後門、架設隱藏式虛擬機，躲過常見偵測並竊取虛擬機快照與憑證資料。這份分析由 CISA、NSA 與加拿大網路安全中心共同完成，總共鑑識了 8 個 Brickstorm 樣本，全都出現在受害組織的內部網路之中。

多層加密、隱匿通訊與持續控制

根據通報，Brickstorm 的設計極度精密，採用多層加密與多協定掩護自身通訊，包括：

• HTTPS
• WebSockets
• 內嵌式 TLS（nested TLS）
• DNS-over-HTTPS（DoH）

攻擊者還使用 SOCKS proxy 進行內網橫向移動；而為確保持續控制，Brickstorm 具備自我監控功能，當程式被中斷或移除時會自動重新安裝或重啟。

從 DMZ 滲透到核心系統的完整攻擊鏈

CISA 在一宗 2024 年 4 月的事件中發現，中國駭客首先入侵受害組織 DMZ 區域的 Web 伺服器，接著橫向移動到內部的 VMware vCenter，最後在其中部署 Brickstorm。

後續調查更發現：

• 攻擊者入侵兩台網域控制站（Domain Controllers）
• 取得 Active Directory Federation Services（ADFS）的金鑰
• 竊取 AD 資料庫資訊與備份檔，用來掠取合法帳密

攻擊者在受害環境中至少維持從 2024 年 4 月到 2025 年 9 月的長期滲透，具備高度的隱匿性與持久性。

Photo Credit: CISA 駭客在受害者網路中的橫向移動

CISA 的偵測與防禦建議

CISA 呼籲政府機關與關鍵基礎設施防禦人員盡快採取行動，包括：

• 使用 CISA/NSA 釋出的 YARA 與 Sigma 規則偵測 Brickstorm 活動
• 阻擋未授權的 DNS-over-HTTPS 流量
• 清點所有網路邊界設備並監控異常行為
• 嚴格限制 DMZ 與內部網路之間的流量路徑

通報強調，一旦偵測到 Brickstorm 或相似活動，應依法律與政策規定回報，以避免攻擊持續擴散。

其他威脅情報：Warp Panda 與 UNC5221

CrowdStrike 今日也指出，2025 年間多起 vCenter 被入侵事件皆與中國駭客組織 Warp Panda 有關，對象涵蓋美國法律、科技與製造業。該組織除了使用 Brickstorm，也部署了名為 Junction、GuestConduit 的新型惡意植入物，在 ESXi 環境中建立長期據點。

更早在 2024 年 4 月，Google 旗下 Mandiant 首度披露 Brickstorm，用於針對科技與法律產業的長期滲透。Google Threat Intelligence Group（GTIG）後續更把這些活動歸為 UNC5221，這個集團因善用 Ivanti 零日攻擊政府單位並散布 Spawnant、Zipline 惡意程式而聞名。

Brickstorm 的出現代表攻擊者已將虛擬化平台視為「隱密控制室」，並用高度模組化與加密的方式在其中躲藏與行動。對關鍵產業而言，這類攻擊已不再是遠方雷聲，而是正敲在 data center 鐵門上的扣擊聲。

Brickstorm的部分入侵指標(Indicator of compromise -IOCs):

73fe8b8fb4bd7776362fd356fdc189c93cf5d9f6724f6237d829024c10263fe5

39b3d8a8aedffc1b40820f205f6a4dc041cd37262880e5030b008175c45b0c46

f7cda90174b806a34381d5043e89b23ba826abcc89f7abd520060a64475ed506

22c15a32b69116a46eb5d0f2b228cc37cd1b5915a91ec8f38df79d3eed1da26b

b3b6a992540da96375e4781afd3052118ad97cfe60ccf004d732f76678f6820a

57bd98dbb5a00e54f07ffacda1fea91451a0c0b532cd7d570e98ce2ff741c21d

013211c56caaa697914b5b5871e4998d0298902e336e373ebb27b7db30917eaf

aaf5569c8e349c15028bc3fac09eb982efb06eabac955b705a6d447263658e38

美國網路安全與基礎設施安全局（CISA）日前正式將 Oracle Fusion Middleware 中的重大安全漏洞 CVE-2025-61757 納入「已知被利用漏洞（KEV）」清單，並證實該漏洞已在實際攻擊中遭到武器化使用。此漏洞影響 Oracle Identity Manager（OIM）模組，被評為 CVSS 9.8 的重大等級，且具備「易於利用」特性，讓攻擊者無需帳密即可完全接管身份管理系統。

重大風險：未授權即能 RCE，攻擊者能直接奪取 Identity Manager

CISA 在公告中指出，CVE-2025-61757 為一項「缺失關鍵功能認證」（Missing Authentication for Critical Function）漏洞，允許未經身分驗證的遠端攻擊者透過 HTTP 直接執行任意程式碼，最終完全接管 Oracle Identity Manager。這意味著：

• 攻擊者可不輸入帳密、不需繞密碼，即可取得 OIM 控制權
• 身份治理系統遭接管後，可連帶危及整個企業單一登入（SSO）、IAM、ERP、EBS、生產系統與內部雲端資源
• CISA 尚無法確認此漏洞是否被勒索軟體團伙利用，但其攻擊面與風險級別已引發全球警示

此漏洞影響 Oracle Fusion Middleware 12.2.1.4.0 與 14.1.2.1.0 版本，Oracle 已於 10 月安全更新中提出修補。

---

攻擊已追溯至 8 月底，SANS 偵測到早期利用行為

在 網路安全廠商Searchlight Cyber 發布技術分析後，SANS Internet Storm Center 立即針對該漏洞啟動大規模流量監控。結果顯示：

• 攻擊行為可追溯至 8 月 30 日
• 僅在漏洞細節公開後，利用流量明顯增加
• 示意攻擊者早已熟知此漏洞並進行武器化測試

Searchlight Cyber 形容此漏洞：「相較於以往複雜的 Oracle Access Manager 漏洞，這次的利用手法顯著簡單、門檻極低」。

---

漏洞技術細節：Groovy + Java Annotation 被濫用，突破安全管理機制

Searchlight Cyber 的技術研究揭露，此漏洞源於 Oracle Identity Governance Suite 的原始碼邏輯缺陷。

關鍵點如下：

1. 系統會編譯 Groovy Script，但不執行其內容

研究團隊發現，OIM 的模組會編譯 Groovy 腳本，雖然編譯後程式不會執行，但這為攻擊者提供了進一步利用的基礎。

2. Java Annotation 在編譯階段執行，不受 Security Manager 限制

由於 Java Annotation 在編譯時即可執行，攻擊者便能：

• 執行系統指令
• 讀取檔案
• 取得與一般 Java 程式同等的權限

這種行為完全繞過 Java Security Manager 的安全限制。

3. CTF 技巧轉化為真實攻擊向量

研究員表示，這次的突破靈感源自他們參與 Java 類型的 CTF 競賽：

「許多看似不可利用的漏洞，只要套用 CTF 的思維，就能找到通往 RCE 的路徑。」

此外，他們也指出 Java URI 解析邏輯與 matrix 參數相關的設計缺陷，一直是攻擊者挖掘認證繞過的熱門方向。

---

Oracle EBS 攻擊蔓延：CL0P 勒索攻擊受害者突破 100 家

除了 OIM 漏洞外，Oracle 生態系近期也備受攻擊者關注。CL0P 勒索組織利用 Oracle E-Business Suite 漏洞的受害企業已突破 100 家。

最新確定受害者包括：

• Mazda
• Canon
• Cox Enterprises（超過 9,000 筆個資外洩）

此情況凸顯 Oracle 系統在攻擊者眼中已成為「高價值、高報酬」標的。

---

台灣企業應立即採取的安全建議

1. 立即完成 Oracle 10 月更新

特別是 OIM 模組的 REST WebServices 組件，不可延誤。

2. 將 OIM 從公網隔離

• 僅允許內部網路或 VPN 存取
• 禁止將管理介面暴露在 Internet 上

3. 強化監控：全面檢查 HTTP 請求異常行為

包括：

• 以 Groovy/Annotation 相關關鍵字進行 WAF 規則檢測
• 注意奇異 URI、matrix 參數的「嘗試性探測」

4. 建立 KEV 對應修補流程

CISA KEV 是攻擊者「正在利用」的漏洞，需以最高優先級修補。

5. 針對 IAM、ERP、SSO 進行風險評估

因為一旦 OIM（身份管理核心）被接管，企業所有整合系統都會被牽連。

---

結語

CVE-2025-61757 並非一般漏洞，而是能直接瓦解企業 IAM 及 ERP 安全基礎的關鍵性弱點。更重要的是，其利用門檻低、攻擊手法簡單、且已被攻擊者武器化。

對台灣企業而言——尤其高度依賴 Oracle Fusion Middleware、EBS 或大型身份管理架構的金融業、製造業、政府單位與科技產業——這是一項不可忽視的「即時性威脅」。

2025 年 11 月，美國網路安全暨基礎設施安全局（CISA）將三個重大資安漏洞納入「已知被利用漏洞」（Known Exploited Vulnerabilities, KEV）目錄，提醒聯邦機構與企業立即採取行動，防止攻擊者利用這些漏洞入侵網路。此次納入的漏洞包括：

1. CVE-2025-9242 – WatchGuard Firebox Fireware OS Out-of-Bounds Write
2. CVE-2025-12480 – Gladinet Triofox 不當存取控制
3. CVE-2025-62215 – Microsoft Windows 核心競態條件（Race Condition）

---

WatchGuard Firebox：VPN IKEv2 出界寫入漏洞

CVE-2025-9242 為 高危（CVSS 9.3）out-of-bounds write 漏洞，影響版本包括：

• Fireware OS 11.10.2 ~ 11.12.4_Update1
• Fireware OS 12.0 ~ 12.11.3
• Fireware OS 2025.1

此漏洞位於 IKEv2 VPN 功能中的 iked 進程，攻擊者可在 未經驗證 的情況下遠端觸發，進而在防火牆邊界設備上執行任意程式碼。問題核心源自 IKE（Internet Key Exchange）握手流程中，識別緩衝區缺乏必要的長度檢查，使資料在尚未通過驗證前就被送進易受攻擊的程式碼路徑。即使裝置後續會進行憑證驗證，也無法阻擋漏洞在前置階段被利用。

更值得注意的是，即便管理者已刪除相關 VPN 設定，只要 仍存在與靜態網關的 VPN 配置，漏洞依舊維持可被攻擊狀態。換言之，攻擊者可利用此缺陷在未授權的情況下直接於設備上執行任意程式碼，導致防火牆遭到完整接管，形成極高的邊界入侵風險。研究者指出，漏洞在認證前即可被觸發，伺服器的證書驗證在漏洞程式碼執行之後才開始，因此攻擊者可在無需登入的情況下入侵防火牆。這類漏洞對 勒索軟體團隊與網路攻擊者 具有高度吸引力：

• 可遠端執行程式碼
• 透過公開 VPN 服務暴露
• 認證前即可被利用

根據 Shadowserver Foundation 統計，截至 2025 年 11 月 12 日，全球仍有超過 54,300 台 Firebox 裝置未修補，其中約 18,500 台位於美國。CISA 已要求聯邦民用行政部門（FCEB）於 12 月 3 日前完成修補。

---

Gladinet Triofox：不當存取控制漏洞

CVE-2025-12480 是 Gladinet Triofox 平台不當存取控制漏洞，攻擊者可繞過驗證，上傳並執行遠端存取工具。Google Mandiant 將其利用事件歸因於威脅集群 UNC6485。

這是 Triofox 在 2025 年被利用的第三個漏洞（前兩個為 CVE-2025-30406 與 CVE-2025-11371）。攻擊者可透過未經授權的設定頁面建立「Cluster Admin」帳號，進一步滲透與控制受影響系統。CISA 建議立即套用廠商修補程式，並審查系統配置與存取權限。

---

Microsoft Windows 核心競態條件

CVE-2025-62215 是 Windows 核心的 race condition 漏洞（CVSS 7.0）。成功利用此漏洞，攻擊者可提升本地權限，取得 SYSTEM 權限。漏洞利用需「贏得資源競爭條件」，但一旦成功，將造成極高風險。CISA 同樣要求聯邦機構依 BOD 22-01 指令修補漏洞。

---

專家觀點：為何這三個漏洞值得關注

從資安專家角度觀察，這三個漏洞共同特徵顯示：

1. 邊界設備與核心服務易成攻擊首選：防火牆與 VPN 是企業網路第一道防線，一旦被攻破，內部網路將暴露。
2. 未經授權的遠端程式碼執行（RCE）風險高：尤其 Firebox 漏洞，認證前即可被利用。
3. 供應鏈與服務平台漏洞需即時修補：Triofox 漏洞顯示，即便系統已部署防護，攻擊者仍能利用管理帳號缺陷擴散。
4. 多層次防護不可或缺：單靠防火牆無法完全阻止入侵，需結合 IDS/IPS、日誌監控、滲透測試與資安稽核。

---

實務建議

1. 立即修補：套用 WatchGuard、Triofox 與 Windows 官方修補程式。
2. 檢查 VPN 與網關配置：確認未授權 VPN 設定已移除或修正。
3. 加強監控與事件回應：監測異常網路流量與帳號活動，尤其針對遠端存取服務。
4. 教育使用者與 IT 人員：提高對漏洞攻擊手法的理解，避免社交工程或惡意配置被利用。
5. 供應鏈安全管理：確保合作夥伴及次級供應商同樣修補漏洞，防止鏈式攻擊。

---

結語

CISA 將 WatchGuard Firebox、Gladinet Triofox 及 Microsoft Windows 三大漏洞列入 KEV，凸顯了 邊界防護、雲端服務與作業系統安全的高度相關性。對企業與政府單位而言，漏洞修補不僅是法規遵循，更是保護關鍵資產與維持營運韌性的核心工作。

美國網路安全與基礎設施安全局（CISA） 近期擴大其 「已知被利用漏洞」（Known Exploited Vulnerabilities, KEV）目錄，新增多項已被攻擊者利用的高風險漏洞。這一舉措顯示，不論是 政府機構還是私營企業，都應立即採取行動，修補這些已知安全缺陷，以防止大規模網路攻擊的發生。

新增至 KEV 目錄的關鍵漏洞

CISA 最新公布的重大安全漏洞，包括：

• CVE-2025-0411 – 7-Zip 網路標記（Mark of the Web）繞過漏洞
• CVE-2022-23748 – Dante 探索程序控制漏洞
• CVE-2024-21413 – Microsoft Outlook 不當輸入驗證漏洞（遠端程式碼執行 RCE）
• CVE-2020-29574 – CyberoamOS (CROS) SQL 注入漏洞
• CVE-2020-15069 – Sophos XG Firewall 緩衝區溢出漏洞

其中，以下兩項漏洞對企業與機構的威脅尤為嚴重：

Microsoft Outlook RCE（CVE-2024-21413）—— 高風險攻擊向量

CVE-2024-21413 的 CVSS 評分為 9.8，屬於 遠端程式碼執行（RCE）漏洞，攻擊者可利用該漏洞在 Microsoft Outlook 上執行惡意程式，並獲取 讀取、寫入及刪除 權限，影響層面極廣。

Microsoft 官方安全公告指出：

「成功利用此漏洞的攻擊者可繞過 Office 保護檢視（Protected View），讓文件直接以編輯模式開啟，而非受保護模式。」

這代表攻擊者可透過 惡意郵件附件 直接執行惡意程式碼，繞過 Microsoft 內建的安全機制。考慮到 Outlook 在全球企業中的廣泛使用，這個漏洞極有可能被 針對性網路釣魚攻擊（Spear Phishing） 濫用，進而引發資料洩露、惡意程式感染，甚至是勒索軟體攻擊。

Sophos XG Firewall 緩衝區溢出漏洞（CVE-2020-15069）—— 企業網路防線的潛在破口

另一個 CVSS 9.8 分的漏洞 CVE-2020-15069 影響 Sophos XG Firewall 17.x 至 17.5 MR12 版本，屬於 緩衝區溢出（Buffer Overflow）漏洞，允許攻擊者遠端執行任意程式碼，甚至獲取 防火牆管理權限。

防火牆作為企業 安全防線的第一道關卡，若遭利用，將可能導致：

• 網路邊界防禦失效，攻擊者可直接滲透內部網路
• APT（高級持續性威脅）組織進行橫向移動（Lateral Movement）
• 散佈後門或其他惡意程式
• 癱瘓網路安全監測機制，導致企業無法察覺攻擊行為

這類漏洞特別容易被 供應鏈攻擊（Supply Chain Attacks） 或 國家級駭客組織 利用，因此應 優先修補，避免淪為高風險目標。

企業與機構應立即採取的行動

根據 Binding Operational Directive（BOD）22-01《降低已知被利用漏洞的重大風險》，美國聯邦機構必須在 2025 年 2 月 27 日前修復這些漏洞，以防範攻擊者利用已知安全弱點發動攻擊。

雖然該指令主要針對 美國聯邦機構，但 私營企業 亦應主動採取行動，以降低潛在風險。

建議防禦措施

1. 立即部署安全修補程式（Patch Updates）
   • Microsoft Outlook、Sophos XG Firewall、Dante、CyberoamOS 與 7-Zip 用戶應立即更新至最新版本，確保漏洞已修補。
2. 強化威脅監測與入侵偵測（Threat Hunting & Detection）
   • 針對 CVE-2024-21413，應加強郵件日誌分析，檢查是否有 可疑郵件附件或 Outlook 進程異常行為。
   • 針對 CVE-2020-15069，應強化防火牆監控，檢測 異常流量模式 或 未授權存取行為。
   • 部署 端點偵測與回應（EDR） 及 網路入侵偵測系統（NIDS），提高即時威脅感知能力。
3. 強化存取控制與網路分段（Access Control & Network Segmentation）
   • 落實 零信任架構（Zero Trust Architecture, ZTA），確保敏感系統只允許授權存取。
   • 限制防火牆管理介面的存取權限，並對所有 管理帳號 強制啟用 多重驗證（MFA）。
4. 提升員工安全意識與事件應變能力（Security Awareness & Incident Response）
   • 針對 CVE-2024-21413，強化 員工資安教育，讓員工識別釣魚郵件，避免點擊可疑附件。
   • 測試 事件應變（Incident Response, IR）計畫，確保能在漏洞被利用時 即時應變、阻止擴散。

結論：提早防範，減少攻擊風險

CISA 此次將 Microsoft Outlook 與 Sophos XG Firewall 等漏洞納入 KEV 目錄，再次提醒企業 核心業務應用與安全基礎設施 仍是駭客的首要攻擊目標。

面對日益複雜的網路攻擊環境，企業應 積極部署漏洞修補，強化 威脅偵測機制，並透過 零信任架構、網路分段及安全教育 提升整體資安防禦能力。

唯有 超前佈署與持續監控，才能有效降低攻擊風險，確保企業與組織在面對新型態網路威脅時，具備 更強的抵禦能力與恢復力。

為了應對受入侵的 Ivanti VPN 設備造成的重大威脅和重大安全漏洞風險，CISA採取了史無前例的舉措，要求聯邦機構在48 小時內斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有實例。

CISA 已命令美國聯邦機構在周六之前斷開所有易受多個活躍漏洞攻擊的 Ivanti Connect Secure 和 Policy Secure VPN 設備的連線。該機構在一份新的緊急指令中表示：“盡快且不晚於2024 年2 月2 日星期五晚上11:59，斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例與機構網路的連接” ，該指令加大了壓力幫助防禦者緩解至少三個在被積極利用的 Ivanti 安全漏洞。

CISA 正在推動聯邦民事行政部門 (FCEB) 機構“繼續對連接到或最近連接到受影響的 Ivanti 設備的任何系統進行威脅搜尋”，並監控可能暴露的身份驗證或身份管理服務。該機構表示，聯邦網路管理員還必須在 48 小時內最大程度地將系統與任何企業資源隔離，並繼續審核特權等級存取帳號。為了使產品重新投入使用，CISA 表示，各機構需要匯出設備配置設定，按照 Ivanti 的說明完成出廠重置，並重建設備並升級到完全修補的軟體版本。

自去年 12 月以來，中國國家級駭客已經利用了至少兩個 Ivanti Connect Secure 漏洞，分別為 CVE-2023-46805 和 CVE-2024-21887。 Ivanti 週三表示，它還發現了兩個額外的漏洞——CVE-2024-21888 和 CVE-2024-21893——後者已經被用於「有針對性的」攻擊。 CISA 先前表示，它還觀察到一些針對聯邦機構的初步目標。

Ivanti 記錄了四個獨立的漏洞：

• CVE-2023-46805 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 Web 元件中存在驗證繞過漏洞，允許遠端攻擊者繞過控制檢查來存取受限資源。 CVSS 嚴重性評分為8.2，已確認為被利用零日漏洞。
• CVE-2024-21887 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure Web 元件中的命令注入漏洞允許經過驗證的管理員發送特製請求並在裝置上執行任意命令。該漏洞可透過網路被利用。 CVSS評分為 9.1並已確認被利用。
• CVE-2024-21888 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure（9.x、22.x）的 Web 元件中存在權限提升漏洞，允許使用者將權限提升至行政人員，CVSS 評分為8.8。
• CVE-2024-21893 — Ivanti Connect Secure（9.x、22.x）、Ivanti Policy Secure（9.x、22.x）和 Ivanti Neurons for ZTA 的 SAML 元件中存在伺服器端請求偽造漏洞，允許攻擊者無需身份驗證即可存取某些受限資源。 CVSS 嚴重性評分 8.2並已確認有針對性的利用。

Ivanti還警告說，情況仍在不斷發展，多個威脅行為者迅速調整其策略、技術和程序，以在其活動中利用這些漏洞。Ivanti稱，CVE-2024-21893 的利用似乎是有針對性的。 Ivanti 預計威脅行為者會改變他們的行為，並且預計一旦該資訊公開，利用行為就會急劇增加。Ivanti 表示，情況仍在不斷發展，將隨著更多資訊的出現，更新其知識庫文章，該軟體公司建議透過下載入口網站匯入「mitigation.release.20240126.5.xml」檔案作為解決 CVE-2024-21888 和 CVE-2024-21893 的臨時解決方法。

三週前，Volexity 首次發現了對這些漏洞的利用，並警告說，中國政府支持的 APT 駭客團隊UNC5221已經建立了一條漏洞鏈來入侵美國組織。 資安公司 Volexity 的創辦人 Steven Adair表示，迄今為止，至少 2,200 台 Ivanti 設備已遭到入侵。這比該公司本月稍早追蹤的 1,700 人增加了 500 人，不過 Volexity 指出「總數可能要高得多」。

資安業者Mandiant則透露駭客透過自動化方法進行的「廣泛的利用活動」，並指出與中國有關的駭客早在 2023 年 12 月 3 日就已經發現了這些漏洞。《安全周刊》消息人士稱，網絡犯罪組織已利用公開的漏洞部署加密器和後門。

Ivanti Connect Secure VPN的部分入侵指標(Indicator of compromise -IOCs):