敦促使用 Ivanti Connect Secure/Pulse Secure VPN 和策略安全网关的 IT 管理员立即安装缓解措施。
这些缓解措施是为了临时处理影响这些产品所有受支持版本的两个漏洞(CVE-2023-46805,身份验证绕过和 CVE-2024-21887,命令注入)。
该公司表示,如果它们链接在一起,“利用不需要身份验证,并且使威胁行为者能够制作恶意请求并在系统上执行任意命令”。
该公司表示:“至关重要的是,您必须立即采取行动,以确保您受到充分保护。” 在一份咨询中说。
补丁将按交错的时间表发布,第一个版本的目标是在 1 月 22 日这一周向客户提供,最终版本的目标是在 2 月 19 日这一周提供。在那之前,缓解措施必须完成。
漏洞 由 Volexity 的研究人员发现去年 12 月,该公司在其网络安全监控服务客户之一的网络上发现了可疑的横向移动。 攻击者在客户的内部和面向外部的 Web 服务器上放置 Webshell。 Veloxity 进一步调查后发现,客户 Ivanti Connect Secure VPN 上的日志已被擦除,并且日志记录已被禁用。 然后,它发现了两个不同的零日漏洞,这些漏洞被链接在一起以实现未经身份验证的远程代码执行。
Volexity 在报告中表示:“结合起来,这两个漏洞使得攻击者可以轻而易举地在系统上运行命令。” “在这次特殊事件中,攻击者利用这些漏洞窃取配置数据、修改现有文件、下载远程文件以及从……VPN 设备反向隧道。”
除此之外,攻击者还修改了合法的 Connect Secure 组件并对系统进行了更改,以逃避 VPN 的完整性检查工具。
Volexity 报告称:“随着组织不断改进和强化防御,攻击者不断寻找绕过它们的方法。” “可访问互联网的系统,尤其是 VPN 设备和防火墙等关键设备,再次成为攻击者最喜欢的目标。 这些系统通常位于网络的关键部分,无法运行传统的安全软件,并且通常位于攻击者操作的最佳位置。
“组织需要确保制定适当的策略,以便能够监控这些设备的活动,并在发生意外情况时快速做出响应。”
1705006090
2024-01-11 16:41:28
:quality(85):upscale()/2024/07/02/900/n/1922153/75b5bf46668464d1432b69.90450989_.jpg)
