“广泛”利用的 Ivanti 零日漏洞

两个尚未修补的关键 Ivanti 漏洞在公开披露后仅五天就被广泛利用。

在周三的安全公告中，Ivanti 敦促用户和管理员缓解 两个零日漏洞 影响 Ivanti Policy Secure 和 Ivanti Connect Secure (ICS)。 该通报指出，第一轮补丁要到 1 月 22 日才会发布，第二轮补丁将于 2 月 19 日开始，但漏洞利用已经开始。 Volexity 向 Ivanti 报告了这些缺陷，并检测到与一个被追踪为 UTA0178 的中国民族国家威胁行为者有关的漏洞利用。

Ivanti 确认，截至 1 月 11 日，只有不到 10 名客户受到威胁。然而，Volexity 周一发布了一篇博文，显示利用行为已迅速蔓延，威胁范围已超出 UTA0178。

研究人员在报告中写道：“这些漏洞的利用现在已经很普遍了。Volexity 已经能够找到全球 1,700 多台设备遭到入侵的证据。” 博客文章。

据 Volexity 称，受影响的客户范围从小型企业到财富 500 强公司，包括全球政府和军事部门、国家电信公司和国防承包商。 其他行业包括技术、金融和航空航天。

Volexity 和 Mandiant 将 CVE-2024-21887 和 CVE-2023-46805 的最早利用情况追踪到 12 月初。 该公司表示，截至披露时，利用该漏洞的组织仅限于少数组织。

“然而，2024 年 1 月 11 日，Volexity 开始检测到显然熟悉这些漏洞的人进行广泛扫描的证据，”博客文章称。 “Volexity 观察到通过其客户 ICS VPN 设备的日志请求的各种不公开的文件路径。”

虽然很难确定该活动是来自攻击者还是安全研究人员，但多个组织报告了可疑的 ICS VPN 同一天登录 Volexity。 此外，调查还证实了 Volexity 和 Mandiant 上周发现的情况——攻击者部署了后门恶意软件，即使在补丁发布后也能保持访问。

根据妥协指标，Volexity 将大规模活动归因于 UTA0178，且“中等可信度”。 然而，供应商明确表示，广泛的利用仍在继续，UTA0178 并不是唯一的威胁行为者。

日志分析显示，其他攻击者也试图利用易受攻击的设备，其中包括被跟踪为 UTA0188 的不同威胁参与者。 威胁行为者的公开信息尚未披露，但 Volexity 表示，它向客户分享了威胁情报。 除了监控客户的利用情况外，Volexity 还开发了一种扫描工具来搜索受感染设备的迹象。

Volexity 还警告称，漏洞利用可能超出了其检测到的 1,700 台设备。 它的扫描功能不适用于已离线或已部署 Ivanti 缓解措施（其中包括多项建议）的组织。 例如，在观察到威胁行为者试图操纵其内部完整性检查工具后，Ivanti 添加了一项新功能，并建议客户运行外部 ICT。

博客文章称：“在应用缓解措施之前，UTA0178 可能在一段时间内采取了这些妥协措施。”

Ivanti 证实，自周三以来，它观察到与漏洞相关的威胁活动和安全研究人员扫描急剧增加。

“我们相信，缓解措施会阻止对易受攻击端点的访问，并且内部和外部完整性检查工具都将识别不匹配的文件。客户的安全是我们的首要任务，我们强烈建议所有客户立即应用缓解措施。” Ivanti 在给 TechTarget 编辑部的电子邮件中说道。 “这是一个不断变化的情况，我们为客户提供了额外的指导，指导他们可以采取哪些措施，以确保威胁行为者无法在他们的环境中持久存在。”

Arielle Waldman 是一位驻波士顿记者，报道企业安全新闻。