五眼聯盟發布了新的網路安全警示,指出攻擊者正在利用 Ivanti Connect Secure 與 Ivanti Policy Secure 已知的安全漏洞發動攻擊。此外,五眼聯盟提出完整性檢查工具(ICT)可能有設計上的瑕疵,因此不能提供正確的安全狀態。
美國CISA與國際合作夥伴共同發布之聯合網際安全警示報告(Joint Cybersecurity Advisory)提到,Ivanti ICT 不足以檢測入侵行為,即使對系統進行出廠重置,攻擊者仍可能可以控制存在漏洞的系統。
相關文章:Ivanti 零時差攻擊在全球激增! 尚未有修補程式
自 2024 年 1 月 10 日以來,Ivanti 產品已被揭露五個安全漏洞,其中有四個正在被多個攻擊者活躍利用以部署惡意軟體:
- CVE-2023-46805(CVSS 評分:8.2)- Web 元件中的身份驗證繞過漏洞
- CVE-2024-21887(CVSS 評分:9.1)- Web 元件中的命令注入漏洞
- CVE-2024-21888(CVSS 評分:8.8)- Web 元件中的權限提升漏洞
- CVE-2024-21893(CVSS 評分:8.2)- SAML 元件中的 SSRF 漏洞
- CVE-2024-22024(CVSS 評分:8.3)- SAML 元件中的 XXE 漏洞
Mandiant發表的分析報告中,描述了一個名為BUSHWALK的惡意軟體加密版本,該軟體被放置在ICT排除掃描的目錄/data/runtime/cockpit/diskAnalysis中。
澳洲、加拿大、紐西蘭、英國及美國的研究機構則表示,
對於網路防禦者來說,最安全的做法是假設攻擊者可能會在系統被重置後布署rootkit持續潛伏與控制設備。並敦促組織在決定是否繼續在企業環境中操作這些設備時,要考慮到攻擊者存取與持續使用 Ivanti Connect Secure 與 Ivanti Policy Secure 的重大風險。
網路安全公司Akamai分享的資料顯示,每天檢測到約 25 萬次的利用嘗試,針對超過1,000個客戶進行攻擊,這些攻擊來自18個不同國家,超過3,300個攻擊IP位址。
Noam Atias與Sam Tinklenberg表示:這些攻擊嘗試大多是試圖傳遞一個payload,該payload會向攻擊者控制的網域發送一個請求,作為成功遠端執行命令的證明。
Ivanti 針對五眼聯盟提出的警示表示,在實施安全性更新與恢復出廠設定後,尚未發現有任何攻擊者仍持續存在的情況。此外,他們亦發布ICT的新版本,聲稱這個新版本為客戶系統上存在的所有檔案提供了更多的可見性。
本文轉載自TWCERT/CC。