Ivanti 披露新的零日漏洞并延迟发布补丁

Ivanti 周三发布了针对本月早些时候披露的两个关键零日漏洞的补丁，但同时也警告客户注意两个新漏洞，其中包括一个正在被利用的新零日漏洞。

在 1 月 10 日的安全公告中， 伊万蒂详细 两个零日远程代码执行漏洞（编号为 CVE-2023-46805 和 CVE-2024-21887）影响 Ivanti Policy Secure (IPS) 和 Ivanti Connect Secure (ICS)。 一周后，被 Ivanti 认为是发现者的 Volexity 证实： 全球 1,700 台设备受到威胁 自12月初以来。

Volexity 和 Mandiant 也对利用活动进行了调查，并将这些攻击归咎于中国民族国家威胁行为者。 供应商还透露，威胁行为者部署了 Web shell 来维持对易受攻击的 ICS 设备的持续访问，这使得缓解变得更加困难。

虽然 Ivanti 周三宣布了 CVE-2023-46805 和 CVE-2024-21887 的第一轮修复，但该软件供应商还披露了 ICS 和 IPS 中的两个新错误。

一个是编号为 CVE-2024-21888 的权限升级漏洞，另一个是编号为 CVE-2024-21893 的服务器端请求伪造漏洞。 伊万蒂警告说，后者是 零日漏洞 这可能允许未经身份验证的攻击者访问某些受限制的资源，并且正在被积极利用。

“在发布时，CVE-2024-21893 的利用似乎是有针对性的。Ivanti 预计威胁行为者会改变他们的行为，我们预计一旦此信息公开，利用行为就会急剧增加 – 类似于我们在1 月 10 日披露后的 1 月 11 日，”Ivanti 在更新后的报告中写道 安全咨询。

Ivanti 表示，“没有证据”表明 CVE-2024-21888 正在被利用来针对客户。 周三发布的补丁修复了 ICS 版本 9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2 和 22.5R1.1 以及 ZTA 版本 22.6R1.3 的所有四个漏洞； 然而，这是一个多步骤的过程。

该咨询称：“出于谨慎考虑，我们建议客户在应用补丁之前将其设备重置为出厂设置，以防止威胁行为者在您的环境中获得持久性升级，这是最佳做法。”

Ivanti 将用户引导至 知识库文章 并警告说，该过程将需要三到四个小时才能完成。 除了复杂的修补过程之外，Ivanti 还推迟了之前的零日漏洞补丁的发布日期，原定于 1 月 22 日这一周发布。

Ivanti 向 TechTarget 编辑部发送了以下声明：

客户的安全是我们的首要任务。 作为我们正在进行的调查的一部分，我们在 Ivanti Connect Secure 和 Ivanti Policy Secure 中发现了另外两个漏洞。 我们在今天发布的补丁中包含了对这些漏洞和之前发现的漏洞的修复，计划发布的其他版本的补丁也将包含全面的修复。 1月31日发布的补丁覆盖了我们的大部分客户。 为了客户的最大利益，我们还提供了新的缓解措施，而其余补丁版本正在开发中。

我们强烈鼓励客户在补丁可用时应用其版本的补丁。 虽然其他补丁版本正在开发中，但他们应该应用缓解措施并运行内部和外部 ICT。