评论:使用 Ivanti 零登录让密码成为过去
第一台计算机密码的创建是 通常归因于麻省理工学院的教授 早在 1961 年,使用单词或短语作为访问手段的历史就可以追溯到更早的时候。 据说古罗马士兵在夜间守卫城门时曾使用“口号”向夜间接近、想要进城的战友发起挑战。 如果他们不知道当前的口令,大门就会一直关闭到早上。 在许多情况下,使用密码来限制访问是有意义的。 然而,20 世纪 60 年代的罗马士兵和麻省理工学院的学者可能只需要在给定时间记住一个密码即可。 如今,几乎每个程序、应用程序、设备、服务和系统都有一个,这意味着典型用户可能需要 50 个或更多密码。 难怪许多人诉诸于使用他们能记住的简单单词,甚至为多个帐户使用相同的密码,这两种做法都是强烈建议不要作为标准网络安全实践的。 密码管理器可以提供帮助,但它们本身通常受到主密码的保护。 在这个令人困惑和复杂的景观中出现了 伊万蒂 零登录平台,完成了看似不可能的任务 完全不需要密码。 它通过将身份验证过程转移到设备本身并使用生物识别技术来实现这一点,以便从用户的角度来看,对工作所需的程序和平台的访问几乎是无缝的。 点击下面的横幅 了解如何充分利用零信任计划。 迈向无密码身份验证 这 Ivanti ZSO 基于云的平台 将设备变成用户访问其应用程序和程序所需的主要身份验证手段。 这也是一个 多因素身份验证 可以使用生物识别技术作为身份形式之一的平台。 基本上,用户使用 MFA 在移动设备上进行身份验证,然后可以使用这些设备通过 ZSO 访问其工作平台。 由采用 ZSO 的组织拥有或管理的医疗机构中的设备与该平台配合得最好。 通过托管设备,用户可以使用公钥证书和密钥向受支持的程序验证自己的身份 统一端点管理平台。 ZSO 也不排除实行 BYOD 政策的医院。 只需一个额外的小步骤,非托管设备必须使用基于 FIDO2 的身份验证或发送给用户的 QR 码进行 ZSO 平台的身份验证,然后与生物识别技术进行配对。 简化医疗保健工作流程和访问 […]
Ivanti 首席执行官承诺“从根本上改变”其遭受重创的安全模式
盖蒂图片社 Ivanti 是一家远程访问公司,其远程访问产品近几个月来遭受了严重的攻击, 并承诺“新时代”,该计划以“重大投资”和董事会的全面支持为后盾,“从根本上改变了 Ivanti 安全运营模式”。 首席执行官杰夫·阿博特(Jeff Abbott)的公开信承诺改进“核心工程、安全和漏洞管理”,使所有产品“通过设计实现安全”,正式建立网络防御机构合作伙伴关系,并“与我们的客户共享信息和学习”。 其中的细节包括该公司承诺提高“由人工智能驱动”的 Ivanti 安全资源和文档门户的搜索能力,以及“交互式语音响应系统”,用于路由呼叫并提醒客户安全问题,也是“由人工智能驱动”。 Ivanti 首席执行官 Jeff Abbott 谈到了公司安全模型的“广泛转变”。 Ivanti 和 Abbott 似乎已经为这个演示文稿工作了一段时间,所以他们不太可能知道它会在几天后到达 披露了四个新漏洞 其 Connect Secure 和 Policy Secure 网关产品,其中两个被评为高严重性。 这些漏洞是在两周后出现的 二 其他 漏洞,被评为严重,具有远程代码执行能力。 以及那些跟随“为期三周的不间断剥削狂潮“二月初,这让安全主管们忙着修补和恢复服务,或者像联邦民事机构那样, 从头开始重建他们的服务器。 广告 由于 Ivanti 生产的 VPN 产品已在包括政府机构在内的大型组织中广泛使用,因此它是威胁行为者的丰富目标,而且近年来似乎特别软。 Ivanti 的 Connect Secure 是一种 VPN 设备,通常缩写为 ICS,充当允许授权设备进行连接的网守。 由于其广泛部署和始终在线的状态,ICS 一直是一个丰富的目标,特别是对于国家级参与者和出于经济动机的入侵者而言。 ICS(以前称为 Pulse Connect)存在先前被利用的零日漏洞 2019年 和 […]
Ivanti 攻击与针对国防承包商的间谍组织有关
研究人员认为,负责对 Ivanti 网络设备进行协同攻击的与中国相关的威胁组织已经掌握了有关这些设备的“重要知识”。 今年到目前为止,Ivanti 已发布了以下补丁 五个高危和危急严重漏洞 影响其 Connect Secure、Policy Secure 和 Neurons for Zero Trust Access 设备。 尽管研究人员此前曾表示,他们怀疑中国民族国家的威胁行为者是 负责利用漏洞,归因于特定群体仍然难以捉摸。 在一个 2月27日帖子,Mandiant 的研究人员(Ivanti 聘请他们来帮助减轻攻击的影响)将攻击者与另一个威胁组织联系起来,据信该组织过去曾使用类似的技术来针对虚拟化技术。 Mandiant 正在追踪对 Ivanti 攻击负责的攻击者(编号为 UNC5325),并在帖子中表示,该组织正在结合使用离地技术来逃避检测,并使用新颖的恶意软件在系统升级、补丁和恢复出厂设置中持续存在。 (曼迪安特 使用 UNC 前缀 标记尚未完全定义的“未分类”威胁群体。) “虽然迄今为止,由于恶意软件代码中缺乏解释加密密钥不匹配的逻辑,观察到的维持持久性的有限尝试尚未成功,但它进一步证明了 UNC5325 为维持对优先目标的访问而付出的努力,并强调了确保网络设备拥有最新更新和补丁的重要性,”研究人员表示。 UNC5325 威胁组织的幕后黑手是谁? UNC5325 是一名涉嫌中国网络间谍活动的运营商,负责利用 CVE-2024-21893一个漏洞 披露并修补 作者:Ivanti,1 月 31 日。 研究人员表示,该组织的策略、技术和程序(TTP)以及恶意软件部署“展示了涉嫌与中国有联系的间谍活动者继续利用零日漏洞攻击边缘基础设施的能力”。 他们将 UNC5325 与另一个未分类的中国威胁组织 (UNC4841) 进行了比较,据信该组织对 去年发生的一系列袭击事件 针对 Barracuda […]
Ivanti 披露新的零日漏洞并延迟发布补丁
Ivanti 周三发布了针对本月早些时候披露的两个关键零日漏洞的补丁,但同时也警告客户注意两个新漏洞,其中包括一个正在被利用的新零日漏洞。 在 1 月 10 日的安全公告中, 伊万蒂详细 两个零日远程代码执行漏洞(编号为 CVE-2023-46805 和 CVE-2024-21887)影响 Ivanti Policy Secure (IPS) 和 Ivanti Connect Secure (ICS)。 一周后,被 Ivanti 认为是发现者的 Volexity 证实: 全球 1,700 台设备受到威胁 自12月初以来。 Volexity 和 Mandiant 也对利用活动进行了调查,并将这些攻击归咎于中国民族国家威胁行为者。 供应商还透露,威胁行为者部署了 Web shell 来维持对易受攻击的 ICS 设备的持续访问,这使得缓解变得更加困难。 虽然 Ivanti 周三宣布了 CVE-2023-46805 和 CVE-2024-21887 的第一轮修复,但该软件供应商还披露了 ICS 和 IPS 中的两个新错误。 一个是编号为 CVE-2024-21888 的权限升级漏洞,另一个是编号为 CVE-2024-21893 […]
警告:威胁行为者绕过了一些 Ivanti 缓解措施
美国和澳大利亚的网络当局向 IT 管理员发出新警告,要求他们采取更多行动来保护 Ivanti Connect 安全和策略安全网关。 与此同时,Ivanti 透露,除了本月早些时候披露的两个漏洞之外,还发现了该设备的两个新漏洞。 最新的漏洞是 CVE-2024-21888 是一个影响策略安全的权限提升漏洞,CVE-2024-21893 是一个服务器端请求伪造漏洞,影响受支持的 Connect Secure 和策略安全网关版本。 Ivanti 今天发布了 Connect Secure(版本 9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2 和 22.5R1.1)和 ZTA 版本 22.6R1.3 的补丁。 覆盖新的洞。 更多补丁即将推出。 “出于谨慎考虑,我们建议客户在应用补丁之前将其设备重置为出厂设置,以防止威胁行为者在您的环境中获得持久性升级,” 伊万蒂今天早上说道。 客户预计重置过程将需要三到四个小时。 Ivanti 补充道,受支持版本的剩余补丁仍将按交错时间表发布。 澳大利亚网络安全中心今天上午表示,据报道,威胁行为者已开发出一些缓解和检测方法的变通办法,导致据报道正在进行的利用活动。 警报称,该中心“强烈建议运营易受攻击的 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的组织对潜在的系统危害进行调查和监控”。 IT 管理员应监控身份验证、帐户使用和身份管理服务,并考虑尽可能将系统与任何企业资源隔离。 美国 周二也发出了类似的警告。 美国网络安全和基础设施安全局 (CISA) 表示:“威胁行为者正在继续利用 Ivanti Connect Secure 和 Policy […]
“广泛”利用的 Ivanti 零日漏洞
两个尚未修补的关键 Ivanti 漏洞在公开披露后仅五天就被广泛利用。 在周三的安全公告中,Ivanti 敦促用户和管理员缓解 两个零日漏洞 影响 Ivanti Policy Secure 和 Ivanti Connect Secure (ICS)。 该通报指出,第一轮补丁要到 1 月 22 日才会发布,第二轮补丁将于 2 月 19 日开始,但漏洞利用已经开始。 Volexity 向 Ivanti 报告了这些缺陷,并检测到与一个被追踪为 UTA0178 的中国民族国家威胁行为者有关的漏洞利用。 Ivanti 确认,截至 1 月 11 日,只有不到 10 名客户受到威胁。然而,Volexity 周一发布了一篇博文,显示利用行为已迅速蔓延,威胁范围已超出 UTA0178。 研究人员在报告中写道:“这些漏洞的利用现在已经很普遍了。Volexity 已经能够找到全球 1,700 多台设备遭到入侵的证据。” 博客文章。 据 Volexity 称,受影响的客户范围从小型企业到财富 500 强公司,包括全球政府和军事部门、国家电信公司和国防承包商。 其他行业包括技术、金融和航空航天。 Volexity 和 Mandiant 将 […]
Ivanti Secure VPN 零日漏洞允许中国威胁行为者破坏系统
Ivanti Secure VPN(一种全球组织使用的流行 VPN 解决方案)中发现了两个零日漏洞。 这些漏洞目前至少被一个名为 UTA0178 的中国民族国家威胁行为体在野外利用。 这两个漏洞的串联允许任何攻击者无需任何身份验证即可执行远程代码并危及受影响的系统。 Ivanti Secure VPN 零日漏洞是什么? Ivanti 发布了官方安全公告 和 知识库 关于两个零日漏洞的文章, CVE-2023-46805 和 CVE-2024-21887,影响 Ivanti Connect Secure(以前称为 Pulse Connect Secure)和 Ivanti 策略安全网关的所有受支持版本。 CVE-2023-46805 是 Ivanti Connect Secure 和 Ivanti Policy Secure 的 Web 组件中的身份验证绕过漏洞。 它允许攻击者通过绕过控制检查来访问受限资源。 CVE-2024-21887 是 Ivanti Connect Secure 和 Ivanti Policy Secure Web 组件中的命令注入。 它允许经过身份验证的管理员发送特制的请求并在设备上执行任意命令,并且可以通过互联网进行利用。 结合起来,这两个漏洞允许攻击者在受影响的设备上运行命令。 […]
向 Ivanti Connect Secure 和 Policy Secure 网关管理员发出警告
敦促使用 Ivanti Connect Secure/Pulse Secure VPN 和策略安全网关的 IT 管理员立即安装缓解措施。 这些缓解措施是为了临时处理影响这些产品所有受支持版本的两个漏洞(CVE-2023-46805,身份验证绕过和 CVE-2024-21887,命令注入)。 该公司表示,如果它们链接在一起,“利用不需要身份验证,并且使威胁行为者能够制作恶意请求并在系统上执行任意命令”。 该公司表示:“至关重要的是,您必须立即采取行动,以确保您受到充分保护。” 在一份咨询中说。 补丁将按交错的时间表发布,第一个版本的目标是在 1 月 22 日这一周向客户提供,最终版本的目标是在 2 月 19 日这一周提供。在那之前,缓解措施必须完成。 漏洞 由 Volexity 的研究人员发现去年 12 月,该公司在其网络安全监控服务客户之一的网络上发现了可疑的横向移动。 攻击者在客户的内部和面向外部的 Web 服务器上放置 Webshell。 Veloxity 进一步调查后发现,客户 Ivanti Connect Secure VPN 上的日志已被擦除,并且日志记录已被禁用。 然后,它发现了两个不同的零日漏洞,这些漏洞被链接在一起以实现未经身份验证的远程代码执行。 Volexity 在报告中表示:“结合起来,这两个漏洞使得攻击者可以轻而易举地在系统上运行命令。” “在这次特殊事件中,攻击者利用这些漏洞窃取配置数据、修改现有文件、下载远程文件以及从……VPN 设备反向隧道。” 除此之外,攻击者还修改了合法的 Connect Secure 组件并对系统进行了更改,以逃避 VPN 的完整性检查工具。 Volexity 报告称:“随着组织不断改进和强化防御,攻击者不断寻找绕过它们的方法。” “可访问互联网的系统,尤其是 VPN […]
Ivanti 警告其流行的端点保护软件系列存在严重漏洞
软件制造商 Ivanti 敦促其端点安全产品的用户修补一个关键漏洞,该漏洞使未经身份验证的攻击者可以在受影响的网络内执行恶意代码。 该漏洞属于一类称为 SQL注入,存在于所有受支持的版本中 Ivanti 端点管理器。 该软件也称为 Ivanti EPM,可在多种平台上运行,包括 Windows、macOS、Linux、Chrome OS 和路由器等物联网设备。 SQL 注入漏洞源自将用户输入解释为数据库命令的错误代码,或者用更专业的术语来说,源自将数据与 SQL 代码连接在一起而不按照 SQL 语法引用数据。 在跟踪 Ivanti 漏洞时,CVE-2023-39336 的严重性评级为 9.6(满分 10)。 Ivanti 官员周五在一份报告中写道:“如果被利用,有权访问内部网络的攻击者可以利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出,而无需进行身份验证。” 邮政 宣布补丁可用。 “这可以让攻击者控制运行 EPM 代理的机器。 当核心服务器配置为使用 SQL Express 时,这可能会导致核心服务器上出现 RCE。” RCE 是远程代码执行的缩写,或者说是异地攻击者运行他们选择的代码的能力。 目前,没有已知证据表明该漏洞正在被积极利用。 Ivanti 还发布了 披露 仅限注册用户。 Ars 获得的一份副本称,Ivanti 在 10 月份获悉了该漏洞。 私人披露的完整内容是: 广告 […]