史無前例 美國CISA下令聯邦機構緊急在48小時內斷開Ivanti VPN 設備的連接

Photo Credit: CISA

為了應對受入侵的 Ivanti VPN 設備造成的重大威脅和重大安全漏洞風險,CISA採取了史無前例的舉措,要求聯邦機構在48 小時內斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有實例。

CISA 已命令美國聯邦機構在周六之前斷開所有易受多個活躍漏洞攻擊的 Ivanti Connect Secure 和 Policy Secure VPN 設備的連線。該機構在一份新的緊急指令中表示:“盡快且不晚於2024 年2 月2 日星期五晚上11:59,斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例與機構網路的連接” ,該指令加大了壓力幫助防禦者緩解至少三個在被積極利用的 Ivanti 安全漏洞。

CISA 正在推動聯邦民事行政部門 (FCEB) 機構“繼續對連接到或最近連接到受影響的 Ivanti 設備的任何系統進行威脅搜尋”,並監控可能暴露的身份驗證或身份管理服務。該機構表示,聯邦網路管理員還必須在 48 小時內最大程度地將系統與任何企業資源隔離,並繼續審核特權等級存取帳號。為了使產品重新投入使用,CISA 表示,各機構需要匯出設備配置設定,按照 Ivanti 的說明完成出廠重置,並重建設備並升級到完全修補的軟體版本。

自去年 12 月以來,中國國家級駭客已經利用了至少兩個 Ivanti Connect Secure 漏洞,分別為 CVE-2023-46805CVE-2024-21887。 Ivanti 週三表示,它還發現了兩個額外的漏洞——CVE-2024-21888 和 CVE-2024-21893——後者已經被用於「有針對性的」攻擊。 CISA 先前表示,它還觀察到一些針對聯邦機構的初步目標。

Ivanti 記錄了四個獨立的漏洞:

  • CVE-2023-46805 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure 的 Web 元件中存在驗證繞過漏洞,允許遠端攻擊者繞過控制檢查來存取受限資源。 CVSS 嚴重性評分為8.2,已確認為被利用零日漏洞。
  • CVE-2024-21887 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure Web 元件中的命令注入漏洞允許經過驗證的管理員發送特製請求並在裝置上執行任意命令。該漏洞可透過網路被利用。 CVSS評分為 9.1並已確認被利用。
  • CVE-2024-21888 — Ivanti Connect Secure(9.x、22.x)和 Ivanti Policy Secure(9.x、22.x)的 Web 元件中存在權限提升漏洞,允許使用者將權限提升至行政人員,CVSS 評分為8.8。
  • CVE-2024-21893 — Ivanti Connect Secure(9.x、22.x)、Ivanti Policy Secure(9.x、22.x)和 Ivanti Neurons for ZTA 的 SAML 元件中存在伺服器端請求偽造漏洞,允許攻擊者無需身份驗證即可存取某些受限資源。 CVSS 嚴重性評分 8.2並已確認有針對性的利用。

Ivanti還警告說,情況仍在不斷發展,多個威脅行為者迅速調整其策略、技術和程序,以在其活動中利用這些漏洞。Ivanti稱,CVE-2024-21893 的利用似乎是有針對性的。 Ivanti 預計威脅行為者會改變他們的行為,並且預計一旦該資訊公開,利用行為就會急劇增加。Ivanti 表示,情況仍在不斷發展,將隨著更多資訊的出現,更新其知識庫文章,該軟體公司建議透過下載入口網站匯入「mitigation.release.20240126.5.xml」檔案作為解決 CVE-2024-21888 和 CVE-2024-21893 的臨時解決方法。

三週前,Volexity 首次發現了對這些漏洞的利用,並警告說,中國政府支持的 APT 駭客團隊UNC5221已經建立了一條漏洞鏈來入侵美國組織。 資安公司 Volexity 的創辦人 Steven Adair表示,迄今為止,至少 2,200 台 Ivanti 設備已遭到入侵。這比該公司本月稍早追蹤的 1,700 人增加了 500 人,不過 Volexity 指出「總數可能要高得多」。

資安業者Mandiant則透露駭客透過自動化方法進行的「廣泛的利用活動」,並指出與中國有關的駭客早在 2023 年 12 月 3 日就已經發現了這些漏洞。《安全周刊》消息人士稱,網絡犯罪組織已利用公開的漏洞部署加密器和後門。

Ivanti Connect Secure VPN的部分入侵指標(Indicator of compromise -IOCs):

美國CISA將 Ivanti Connect Secure 和 Microsoft SharePoint 漏洞新增至其已知遭濫用之漏洞清單 聯邦機構須於2024 年 1 月 31 日前修補這些漏洞

Photo Credit: CISA

1 月 11 日,美國網路安全與基礎設施安全局 (CISA) (Known Exploited Vulnerabilities (KEV) catalog)新增了 Ivanti Connect Secure 和 Policy Secure 漏洞(編號為CVE-2024-21887CVE-2023-46805)以及 Microsoft SharePoint Server 漏洞(編號為CVE- 2023-29357) 在其已知遭濫漏洞清單中。

1 月 10 日,軟體公司 Ivanti報告稱,駭客在利用其 Connect Secure (ICS) 和 Policy Secure 中的兩個零日漏洞(CVE-2023-46805、CVE-2024-21887)在目標網關上執行遠端任意命令。漏洞編號為 CVE-2023-46805,嚴重程度評分為 8.2。它允許駭客「透過繞過控制檢查來存取受限資源」。另一個漏洞 CVE-2024-21887 可協助攻擊者向設備發送命令,嚴重程度為 9.1。攻擊者可以連結這兩個漏洞,向未修補的系統發送特製請求並執行任意命令。

Ivanti 發布的公告,如果 CVE-2024-21887 與 CVE-2023-46805 結合使用,利用漏洞可不需要身份驗證,並使駭客能夠製作惡意請求並在系統上執行任意命令。該公司正在提供緩解措施,並確認正在開發安全修補程式,最終修補將於 2 月 19 日內發布。

另外,資安公司Volexity 研究人員觀察到駭客已積極在利用這兩個零日漏洞。2023 年 12 月,Volexity 調查了一次攻擊,攻擊者利用這些漏洞在多個內部和面向外部的 Web 伺服器上放置 Webshel​​l。

此外新增至 CISA KEV 清單的第三個漏洞是 Microsoft SharePoint Server 權限升級漏洞CVE-2023-29357,未經身份驗證的攻擊者獲得偽造 JWT (JSON Web Token)身份驗證令牌存取權限,使用它們來執行繞過身份驗證的網路攻擊,並允許他們獲得經過身份驗證的用戶的權限。漏洞可允許未經身份驗證的攻擊者在成功利用不需要使用者互動的低複雜度攻擊後獲得管理權限。

根據約束性操作指令22-01( Binding Operational Directive 22-01 ) ,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB),都必須針對相關漏洞進行處理,在截止日期前解決已識別的漏洞,以保護其網路免受利用清單中的漏洞攻擊,專家也建議私人機構審查KEV清單並解決其基礎設施中的漏洞。

CISA 命令聯邦機構在 2024 年 1 月 31 日之前修復以上三個漏洞。

Ivanti Connect Secure漏洞的部分入侵指標(Indicator of compromise -IOCs):
206.189.208.156
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
75.145.243.85
71.127.149.194
173.53.43.7

CISA 命令政府機構5月前修補 Apple兩個零時差漏洞;CISA已將漏洞增加到已知遭濫用之漏洞清單

CISA已將Apple兩個零時差漏洞增加到已知遭濫用之漏洞清單

Apple 於 4 月 7 日發布了修補,以解決兩個零時漏洞,CVE-2023-28205 CVE-2023-28206,Apple承認這些漏洞可能已被積極利用以在易受攻擊的設備上執行任意程式碼。

由於這些漏洞也會影響舊設備,Apple 於 4 月 10 日發布了向後移植修補程式的更新,這些更新現在也適用於一些較舊的 Apple 設備。

漏洞詳情

CVE-2023-28205是一個WebKit 中的use-after-free漏洞, 具有很高的可利用性。當處理特製的網頁內容時,此漏洞可能允許任意程式碼執行。

CVE-2023-28206是IOSurfaceAccelerator 中的越界寫入問題 。該漏洞可能允許攻擊者使用惡意製作的應用程式以內核權限執行任意程式碼。

Apple已通過改進內存管理修復了第一個漏洞,並通過改進輸入驗證修復了第二個漏洞,這些漏洞在美國國家漏洞數據庫中暫沒被配置CVSS 分數。

CISA 命令聯邦機構修補 Apple 設備中的安全漏洞

4 月 11 日,網路安全暨基礎安全局(Cybersecurity and Infrastructure Security Agency, CISA) 已指示聯邦機構需在 5 月 1 日之前修補用於入侵 iPhone、Mac 和 iPad 的兩個安全漏洞。

2022 年 11 月發布的一項名為 BOD 22-01 的指令要求聯邦聯邦民事行政機構 ( FCEB ) 保護其系統免受 CISA 已知遭濫用之漏洞清單中列出的所有漏洞的影響。為了遵守這一指令,FCEB 機構現在必須保護 iOS、iPadOS 和 macOS 設備免受這兩個漏洞的影響。FCEB 機構必須在 2023 年 5 月 1 日之前保護其系統免受這些漏洞的影響。

據信這些漏洞目前僅在高度針對性的攻擊中被利用,但建議盡快修補它們以防止未來發生的任何攻擊。

安全更新適用於以下最新版本:

iOS 16.4.1

iPadOS 16.4.1

macOS Ventura 13.3.1

Safari 16.4.1

更新涵蓋廣泛的設備,例如:

iPhone 8 and later

iPad Pro all models

iPad Air 3rd generation and later

iPad 5th generation and later

iPad mini 5th generation and later

Ventura for Macs

“轉貼、分享或引用文章內容,請註明出處為竣盟科技https://www.billows.tech/, 以免觸法”

美國CISA 下令聯邦機構修補被勒索軟體集團濫用的Exchange 伺服器漏洞

美國網路安全暨基礎設施安全局(CISA)在1月10日在其已知濫用資安漏洞(Known Exploited Vulnerabilities)清單中又增加了兩個漏洞

第一個漏洞為CVE-2022-41080, 屬於Exchange伺服器特權提升的漏洞,可與ProxyNotShell漏洞(CVE-2022-41082)連結起來實現遠端執行任意程式碼。根據總部位於德州的雲端服務業者 Rackspace一周前的證實,Play軟體集團利用它作為零時差漏洞來繞過Microsoft的ProxyNotShell URL 重寫緩解措施從而濫用網頁版郵件管理介面Outlook Web Access(OWA)來遠端執行任意程式碼來攻擊Exchange。資安公司CrowdStrike 將此漏洞利用手法稱為“OWASSRF”,在成功入侵後,駭客便利用遠端存取工具Plink、AnyDesk來維持存取,並在Exchange伺服器上執行反取證技術以試圖隱藏他們的擊行動,這可使其他網路犯罪分子更容易建立自己自訂義的漏洞利用程式或根據自己的目的調整 Play 勒索軟體的工具,從而增加了盡快更新和修補漏洞的緊迫性。

CISA建議擁有落地Exchange 伺服器的組織立即部署最新的 Exchange 安全更新或禁用網頁版郵件管理介面(OWA),直到他們可以應用 CVE-2022-41080 修補。

CISA 新增到其已知濫用資安漏洞清單中的第二個漏洞是Windows 進階本機程序呼叫(Advanced Local Procedure Call,ALPC)中的特權升級時差漏洞 ( CVE-2023-21674 ),被標記為已在攻擊中被利用,微軟在本月安全更新Patch Tuesday釋出修補,CISA下令聯邦機構必須在 1 月底之前完成修補。CISA 於 2021 年 11 月發布具有約束性作業指引:降低已知被開採漏洞的重大風險(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities),為了聯邦民事執行機構 (Federal Civilian Executive Branch) 的網路免受添加已知濫用資安漏洞的侵害,可約束其在特定時間內完成修補。此次CISA給予 FCEB 機構三週的時間,直到 1 月 31 日,以修補這兩個安全漏洞並阻止針對其系統的潛在攻擊。CISA 警告說“這些類型的漏洞是惡意網路參與者的常見攻擊媒介,並對聯邦企業構成重大風險。

雖然該指令僅適用於美國聯邦機構,但 CISA 還強烈敦促所有組織修補這些漏洞以避免受到攻擊。自 BOD 22-01 指令發布以來,CISA 在其被在其已知濫用資安漏洞清單中增加了 800 多個安全漏洞,要求聯邦機構以更緊迫的時間表解決這些漏洞,以防止潛在的安全漏洞。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國政府分享了自 2020 年以來中國國家級駭客最常利用的主要漏洞

今天美國NSA、CISA 和 FBI這三個聯邦機構在一份聯合諮詢中,詳細說明了自 2020 年以來,最常被中國政府支持的駭客來攻擊別國政府和關鍵基礎設施網路的主要安全漏洞。

該諮詢報告旨在向所有聯邦和州政府機構,特別是涉及關鍵基礎設施的機構和私營部門組織通報顯著的趨勢和常用策略、技術,以及作業程序 (TTPs),並表示美國國家安全局、中央情報局和聯邦調查局繼續評估中國國家支持的網路活動是對美國政府和民用網路的最大和最具活力的威脅之一。

以下是諮詢中一些細節:

中國國家級駭客正在瞄準美國及其盟國的網路和及關鍵基礎設施網路為目標,以一系列新技術和適應性技術——其中一些對資訊科技部門組織(包括電信提供商)、國防工業基礎 (DIB) 部門組織和其他關鍵基礎設施組織構成重大風險。

中國國家級駭客繼續利用已知漏洞並使用公開可用的工具來瞄準感興趣的網路。NSA、CISA 和 FBI 評估中國政府支持的網絡行為者積極瞄準美國和盟國網路以及軟體和硬體公司,以竊取智慧財產權並開發對敏感網路的存取權。有關最常被利用的CVEs漏洞,請參見下表。

在開採這些漏洞時駭客者常以VPN來隱藏其活動,並針對面向Web的應用程式獲取初步存取權。上面列出的大多數漏洞都允許駭客悄悄地存取網路,以建立持久性並在其他連接的網路中橫向移動。

那麼,您能做些什麼來更好地保護您的組織免受中國國家級駭客的攻擊呢?該諮詢提供了六種緩解措施:

*盡快更新和修補系統,優先修補本諮詢中發現的漏洞和其他已知的被利用漏洞。

*盡可能使用抗網路釣魚的多因素身份驗證,要求所有使用密碼登錄的帳戶都擁有強大、獨特的密碼,如果有跡象表明密碼可能已被洩露,請立即更改密碼。

*在網路邊緣阻止過時或未使用的協議。

*升級或更換報廢設備。

*轉向零信任安全模型。

*啟用面向 Internet 的系統的強大日誌記錄並監控日誌中的異常活動。

CISA、NSA 和 FBI 強烈鼓勵所有組織審查並應用這些緩解措施,以改善其網路安全狀況並最大程度地降低洩露風險。

了解更多,請參閱完整的公告”Top CVEs Actively Exploited By People’s Republic of China State-Sponsored Cyber Actors

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國CISA 就 Zabbix監控平台中兩個被積極利用的漏洞發出警報,並將它們加入到「已知被開採漏洞」清單

#CVE-2022-23131 

#CVE-2022-23134

美國網路安全暨基礎架構管理署 (CISA) 在其已知被開採漏洞清單(Known Exploited Vulnerabilities Catalog)添加了兩個影響 Zabbix 監控工具基礎設施的新漏洞,最重要的是,根據具有約束性作業指引:降低已知被開採漏洞的重大風險中(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities),CISA 命令聯邦民事執行機構 (Federal Civilian Executive Branch)在 2022 年 3 月 8 日之前對所有系統進行漏洞修補,以減少其遭受潛在網路攻擊的風險。

漏洞編號CVE-2022-23131(CVSS 評分:9.8)和 CVE-2022-23134(CVSS 評分:5.3)這些漏洞可能導致整個網路受到威脅,使未經身份驗證的惡意攻擊者能夠提升權限並獲得Zabbix 前端管理員存取權限以及進行配置更改。這兩個漏洞由資安業者SonarSource 的研究員 Thomas Chauchefoin發現,這兩個漏洞均影響 Zabbix Web 前端版本,包括 5.4.8、5.0.18 和 4.0.36,此後,隨著版本 5.4.9、5.0.9 和 4.0.37 的發布,這些問題已得到解決。

這兩個漏洞都是“不安全會話存儲”的結果,允許攻擊者繞過身份驗證並執行任意程式碼。然而,值得指出的是,這些漏洞僅影響啟用安全宣告標記語言(SAML) 中單一登入(SSO) 的身份驗證實例,但專家認為企業或組織有必要審查「已知被開採漏洞」清單並解決其基礎設施中的漏洞。

以下是THOMAS CHAUCHEFOIN發現這兩個漏洞的timeline

CISA制定了新的網路安全事件和漏洞回應手冊,旨在改進和標準化聯邦及民營機構在面臨威脅時的安全流程

Key Points:

*CISA 發布事件和漏洞回應手冊,以加強聯邦及民營機構的網路安全

*這是拜登總統改善國家網路安全頒布的行政命令的一部分

*CISA建議各機構應使用手冊來塑造整體防禦性網路行動

11月16日(週二)美國網路安全暨基礎設施安全局(CISA)發布了新的指導手冊,其中包括針對面臨全資威脅時聯邦及民營機構的標準化回應程序。新的指導方針是CISA根據拜登總統在5月份頒布的網路安全行政命令而制定的,據了解,指導手冊中的範例為聯邦及民營機構提供了一套標準程序,以應對影響它們網路的漏洞和資安事件,手冊涵蓋了機構應如何管理與事件和漏洞相關的網路安全流程——包括準備(preparation)、調查(investigation)、遏制(containment)、報告(reporting)和補救(remediation)。CISA 在宣布手冊時表示,聯邦及民營機構應該使用這些手冊來塑造他們的整體防禦網路行動。

手冊以CISA 約束性操作指令 22-01( Binding Operational Directive 22-01 ) 為基礎,標準化了在應對這些對聯邦政府、私營和公共部門構成重大風險的漏洞時應遵循的流程,CISA強烈建議公營和私營機構的合作夥伴檢閱手冊,以評估他們的漏洞和事件回應實踐。手冊內容包括事件回應手冊(Incident Response Playbook)適用於涉及已確認的惡意網路活動且已宣布或尚未合理排除的重大事件,漏洞回應手冊(Vulnerability Response Playbook ) 適用於任何被對手觀察到用於獲取未經授權進入電腦資源的漏洞。

CISA 敦促各機構應使用這些手冊來幫助塑造整體的防禦性網路行動,以提高整體彈性和確保一致性和有效的回應。