美国和澳大利亚的网络当局向 IT 管理员发出新警告,要求他们采取更多行动来保护 Ivanti Connect 安全和策略安全网关。 与此同时,Ivanti 透露,除了本月早些时候披露的两个漏洞之外,还发现了该设备的两个新漏洞。
最新的漏洞是 CVE-2024-21888 是一个影响策略安全的权限提升漏洞,CVE-2024-21893 是一个服务器端请求伪造漏洞,影响受支持的 Connect Secure 和策略安全网关版本。
Ivanti 今天发布了 Connect Secure(版本 9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2 和 22.5R1.1)和 ZTA 版本 22.6R1.3 的补丁。 覆盖新的洞。 更多补丁即将推出。
“出于谨慎考虑,我们建议客户在应用补丁之前将其设备重置为出厂设置,以防止威胁行为者在您的环境中获得持久性升级,” 伊万蒂今天早上说道。 客户预计重置过程将需要三到四个小时。
Ivanti 补充道,受支持版本的剩余补丁仍将按交错时间表发布。
澳大利亚网络安全中心今天上午表示,据报道,威胁行为者已开发出一些缓解和检测方法的变通办法,导致据报道正在进行的利用活动。
警报称,该中心“强烈建议运营易受攻击的 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的组织对潜在的系统危害进行调查和监控”。 IT 管理员应监控身份验证、帐户使用和身份管理服务,并考虑尽可能将系统与任何企业资源隔离。
美国 周二也发出了类似的警告。
美国网络安全和基础设施安全局 (CISA) 表示:“威胁行为者正在继续利用 Ivanti Connect Secure 和 Policy Secure Gateway 中的漏洞来捕获凭证和/或投放 Webshell,从而进一步危害企业网络。” “一些威胁行为者最近针对当前的缓解措施和检测方法开发了变通办法,并且能够利用弱点、横向移动以及在不被发现的情况下升级权限。 CISA 意识到复杂的威胁行为者已经破坏了外部完整性检查工具 (ICT),从而进一步减少了他们的入侵痕迹。”
如果组织在过去几周内一直运行 Ivanti Connect Secure(9.x 和 22.x)和 Policy Secure 网关和/或继续运行这些产品,CISA 建议对连接到或最近连接的任何系统进行持续威胁搜寻至 — Ivanti 设备。 此外,组织还应监控可能暴露的身份验证、帐户使用和身份管理服务,并尽可能将系统与任何企业资源隔离。
应用补丁后,当这些补丁可用时,CISA 建议组织继续搜寻其网络,以检测在补丁实施之前可能发生的任何损害。
这些采取缓解措施的警告是在 Ivanti 发布有关设备中的身份验证绕过漏洞 (CVE-2023-46805) 和命令注入漏洞 (CVE-2024-21887) 的第一个警报近三周后发出的。
同样在今天, Mandiant 发布了其后台博客的更新 关于漏洞。 Mandiant 已发现,早在 2023 年 12 月 3 日,一名涉嫌与中国有联系的间谍威胁行为者就开始对这些漏洞进行零日利用。
Mandiant 指出,威胁行为者找到了一种方法来绕过 Ivanti 针对第一对漏洞于 1 月 10 日发布的建议缓解措施。 该绕过导致了自定义 Webshell 的部署。 Mandiant 认为缓解绕过活动“针对性强、有限,并且与咨询后的大规模利用活动不同”。 但是,使用 Ivanti 的外部完整性检查工具 (ICT) 成功检测到新 Webshell 的存在。
Mandiant 指出,IT 管理员应该使用 Ivanti 的外部 ICT 来审查日志,因为它比内部版本更强大且更能抵抗篡改。
该博客还概述了妥协的指标。
1706730549
2024-01-31 16:50:56
