概述
全球范围内,超过1700台Ivanti Connect Secure VPN设备已被攻击者利用两个零日漏洞进行入侵,目前尚无可用补丁。Volexity研究人员指出:“除了UTA0178之外,似乎还有其他威胁行为者已经获得了利用该漏洞的能力,并正积极尝试攻击设备。”
初步发现
Volexity和Ivanti于2024年1月10日透露,不明攻击者利用CVE-2023-46805(身份验证绕过)和CVE-2024-21887(命令注入漏洞)进行攻击,导致组织内部和外部的网络服务器被放置了Webshell。这些攻击自12月初开始。
受影响组织被建议尽快采取临时缓解措施,检查是否有被攻击的证据,并在发现系统被入侵的情况下将攻击者驱逐出系统。
紧接着,Mandiant事件响应团队分享了被攻击者使用的定制恶意软件的妥协指标,这些攻击者在Volexity的追踪下被称为UTA0178,据信是参与网络间谍活动的中国赞助黑客。
全球发现的1700多台被攻陷的Ivanti VPN设备
Volexity表示,当他们公开这一信息后,立即开始检测到有人对这些漏洞进行广泛扫描,并于2024年1月11日收到多家组织的报告,称其设备已被攻陷。
这些设备被植入了GIFTEDVISITOR Webshell的变种,这种Webshell在之前的事件中也被检测到。随后,该公司开发了一种新的扫描方法,用于检测Ivanti Connect Secure VPN设备上的这种Webshell,并扫描了大约30,000个ICS IP地址。
“截至2024年1月14日,Volexity已经确认超过1700台ICS VPN设备被GIFTEDVISITOR Webshell攻陷。这些设备似乎是被无差别地攻击,受害者遍布全球,”他们指出。
“受害者的分布广泛,规模差异很大,从小型企业到一些全球最大的组织,包括多个不同行业的财富500强公司。”他们认为这些受害者是UTA0178的目标,但也发现其他威胁行为者试图进行攻击的证据,“其操作安全性明显低于UTA0178。”因此,似乎这些漏洞已被共享,或其他黑客组织已设法创建自己的攻击手段(正如安全研究人员所做的)。
应该怎么做?
使用Ivanti Connect Secure VPN设备和Ivanti的Policy Secure NAC解决方案的组织仍被敦促在补丁发布之前实施建议的缓解措施。
“然而,应用缓解措施和补丁无法解决过去的妥协。运行ICS VPN设备的组织需要审查其日志、网络遥测和完整性检查工具的结果(过去和现在),以寻找任何成功妥协的迹象,”Volexity研究人员指出。
该公司还提供了处理发现妥协的指南。“在Volexity有已知联系的情况下,国家CERT已被联系,以通知他们管辖范围内的受害者,”他们补充道,但组织不应指望被联系,而应自行调查以确认或否认是否发生了数据泄露。
Ivanti也发布了最新的恢复指导。Rapid7发布了一份关于如何利用这两个漏洞的详细技术分析。
更新(2024年1月19日,东部时间12:50 p.m.)
这两个漏洞现在也被用来分发加密矿工,GreyNoise发现了这一点。Volexity发布了有关攻击的新观察结果,以及组织在部署Ivanti提供的缓解措施时如何避免错误的建议。
更新(2024年1月22日,东部时间04:55 a.m.)
CISA于1月19日(星期五)发布了一项紧急指令,要求美国联邦机构:
- 在2024年1月22日星期一东部时间11:59之前,下载并导入Ivanti的“mitigation.release.20240107.1.xml”到受影响的产品中
- 检查其设备是否被攻陷
- 向机构报告妥协迹象
- 将受影响的产品从机构网络中移除
- 在Ivanti发布补丁后48小时内,应用更新以解决这两个漏洞。
“在发布该指令一周后,向CISA(使用提供的模板)报告机构网络上所有Ivanti Connect Secure和Ivanti Policy Secure产品的完整清单,包括采取的行动和结果的详细信息,”指令中指出。
结论
在面对零日漏洞的威胁时,组织应采取积极的防御措施,确保其VPN设备的安全性。及时更新和监控网络活动是保护组织免受攻击的关键。
