美国网络安全和基础设施安全局(CISA)已要求联邦民用执行机构在48小时内拆除所有在联邦网络上使用的Ivanti设备,原因是有多个威胁行为者正在积极利用这些系统中的多个安全漏洞。此指令是上周紧急指令(ED 24-01)附带的补充指示的一部分。
Ivanti VPN的网络安全风险
根据安全研究人员的说法,已知的中国国家支持的网络攻击者UNC5221利用了至少两个漏洞,分别是身份验证绕过(CVE-2023-46895)和命令注入(CVE-2024-21887),这些漏洞在披露后被当作零日漏洞利用。此外,Ivanti本周表示,服务器端请求伪造(CVE-2024-21893)漏洞已经在“针对性”攻击中被作为零日利用,并披露了Ivanti Connect Secure和Ivanti Policy Secure的Web组件中一个尚未在实际攻击中观察到的特权提升漏洞(CVE-2024-21888)。
CISA在其补充指示中写道:“运行受影响的Ivanti Connect Secure或Ivanti Policy Secure产品的机构必须立即执行以下任务:在2024年2月2日星期五晚上11:59之前,尽快将所有Ivanti Connect Secure和Ivanti Policy Secure解决方案产品与机构网络断开连接。”
CISA的指令适用范围
CISA的指令适用于102个被列为“联邦民用执行机构”的机构,包括国土安全部、能源部、国务院、人事管理办公室和证券交易委员会(但不包括国防部)。同时,强烈建议拥有Ivanti设备的私营实体优先采取相同措施,以保护其网络免受潜在利用。
立即断开连接的重要性
云安全研究员Scott Piper指出,要求在大约48小时内断开设备连接,而不是进行补丁更新,“是前所未有的”。因为Ivanti设备将组织的网络与更广泛的互联网连接,若这些设备被攻陷,攻击者可能会访问域账户、云系统及其他连接资源。Mandiant和Volexity近期发出的警告表明,多个威胁行为者正在大规模利用这些漏洞,这可能是CISA坚持立即物理断开设备的原因。
CISA提供了查找妥协指标(IoCs)以及在重建设备后如何重新连接到网络的指示。同时,CISA表示,将为没有内部能力执行这些操作的机构提供技术支持。
如何重建和重新连接设备
Ivanti设备不能仅仅重新连接到网络,而是需要重建和升级,以消除漏洞和攻击者可能留下的任何东西。
Ivanti在一篇知识库文章中解释道:“如果发生了利用,我们相信攻击者很可能已经导出了您运行配置的副本,并在利用时加载了私有证书,并留下了一个Web shell文件以便未来的后门访问。”因此,Ivanti建议客户撤销和更换证书,以防止在漏洞修复后进一步利用。
机构需首先导出设备的配置设置,执行出厂重置,然后重建设备。设备的软件必须通过官方下载门户升级到以下版本之一:9.1R18.3、22.4R2.2、22.5R1.1、9.1R14.4或9.1R17.2。完成升级后,可以将配置设置导入设备。
假设已被攻陷
更安全的做法是假设所有连接到设备的服务和域账户都已被攻陷,并相应采取行动。因此,机构必须对本地账户进行双重密码重置,撤销Kerberos票证,并撤销云账户的令牌。需要禁用云注册的设备以撤销设备令牌。
机构需在2024年3月1日晚上11:59(东部标准时间)之前报告这些步骤的状态。
关于作者
Fahmida Y. Rashid是《Dark Reading》的特写编辑,专注于为安全专业人士提供所需信息的故事。她在分析新闻事件和阐明IT专业人士及商业经理所需的安全技术方面拥有超过十年的经验。在专注于信息安全之前,Fahmida撰写了关于企业IT的文章,特别是网络、开源和核心互联网基础设施。
保持关注最新的网络安全威胁、新发现的漏洞、数据泄露信息及新兴趋势。每日或每周直接发送到您的电子邮箱。
订阅更多见解
参加网络研讨会:确保您的云数据在攻击时间线上的安全。
