Ivanti VPN設備中的漏洞使未經身份驗證的遠程黑客能夠危害目標設備、執行任意命令、滲透內部網絡并竊取敏感數據。


威脅情報公司Volexity發現,利用2023年12月第二周發現的兩個Ivanti零日漏洞的攻擊有所增加。


據Volexity稱,至少有20個使用Ivanti Connect Secure VPN設備的組織在利用Ivanti零日漏洞CVE-2023-46805和CVE-2024-21887的網絡攻擊中受到損害 。Volexity已“中等信心”地證實,受感染系統的數量可能比其發現的數量還要多。


Volexity研究人員發現的這些缺陷影響了Ivanti Connect Secure VPN和Policy Secure NAS設備,并于上周由Avanti披露。


1月10日,Volexity警告稱 ,一個據稱UTA0178組織利用這些漏洞訪問內部網絡并竊取信息。1月11日,該公司觀察到一系列針對Ivanti VPN設備的針對性攻擊,導致這些漏洞被廣泛利用。


CVE-2023-46805是一個身份驗證繞過缺陷,CVSS評級為8.2,影響Ivanti ICS 9.x、22.x和Ivanti Policy Secure。第二個缺陷CVE-2024-21887是一個命令注入漏洞,CVSS評分為9.1,影響Ivanti Connect Secure 9.x、22.x和Ivanti Policy Secure。


如果被利用,未經身份驗證的遠程攻擊者可以通過執行任意命令、滲透內部網絡和竊取敏感數據來危害目標設備。


Volexity指出,一個未知的APT組織于2023年12月對ICS VPN設備發起了初步攻擊,下載惡意軟件工具包進行間諜活動。此后,多個威脅參與者使用GIFTEDVISITOR Webshel??l變體攻擊了數百臺設備并給目標系統添加了后門。


研究人員在掃描50000個Ivanti VPN鏈接IP后透露,截至2023年1月14日,超過1700臺ICS VPN設備遭到入侵。美國和歐洲的受害者比例最高,影響范圍從政府、軍事、電信、國防、科技、銀行、金融、會計、航空航天、航空和工程領域的小型企業到財富500強公司。


Mandiant還觀察到,一個名為UNC5221的疑似國家支持的威脅行為者上個月利用這些缺陷部署了多達5個自定義惡意軟件系列。其中包括ZIPLINE后門、WARPWIRE憑證收集器、THINSPOOL shell腳本釋放器和LIGHTWIRE Web shell。


Mandiant在報告中指出,威脅行為者UNC5221發起了“機會主義攻擊”,以維持對其“在補丁不可避免地發布后”受到損害的高優先級目標的持續性。


Ivanti計劃在2024年1月22日之前發布補丁來修復這些缺陷,最終補丁預計將于2024年2月19日發布。在補丁發布之前,可以使用解決方法來防止利用。使用易受攻擊產品的組織應立即實施。

網絡攻擊
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接