引言
2024年1月19日,美国网络安全和基础设施安全局(CISA)发布了紧急指令24-01,旨在缓解Ivanti Connect Secure和Ivanti Policy Secure中的漏洞。CISA有权针对已知或合理怀疑的信息安全威胁、漏洞或事件发布紧急指令,所有美国联邦机构必须遵循这些指令。
漏洞概述
联邦机构被要求在三天内实施针对两个新发现漏洞的缓解措施。CISA的监控显示,威胁行为者仍在利用这些漏洞,并针对早期的缓解措施和检测方法开发应对策略。1月31日,CISA发布了紧急指令的补充指令V1,要求各机构立即断开Ivanti Connect Secure和Ivanti Policy Secure产品的所有实例与机构网络的连接,直至经过多项操作后才能重新投入使用。
威胁行为者的策略
根据Volexity博客的调查,攻击早在2023年12月就已开始。威胁行为者利用两个以前未知的漏洞,获得对Connect Secure和Policy Secure设备的访问权限,并实现未经身份验证的远程代码执行(RCE)。
- CVE-2023-46805:这一漏洞位于产品Web组件中,允许远程攻击者绕过控制检查,获取对受限资源的访问权限。
- CVE-2024-21887:这一命令注入漏洞允许经过身份验证的管理员在设备上执行任意命令并发送特制请求。攻击者能够绕过身份验证,成为“经过身份验证的”管理员,利用其在设备上执行任意命令的能力。
通过这些漏洞,威胁行为者几乎完全控制了设备,能够:
- 收集登录VPN服务用户的凭据
- 使用这些凭据登录受保护的系统以搜索更多凭据
- 修改文件以启用远程代码执行
- 在多个Web服务器上部署Web Shell
- 从设备返回到其命令和控制服务器(C2)的反向隧道
- 通过禁用日志记录和清除现有日志来避开检测
小设备,大风险
这一事件使客户面临重大风险。CISA发布指令是合理的,Ivanti正在努力减轻威胁并为设备开发补丁。然而,这也反映了传统“城堡与护城河”安全范式的局限性。在这种模式中,远程用户位于城堡外,而受保护的应用程序和资源则留在城堡内。
当攻击者控制了护城河本身,客户恢复控制权时面临的挑战愈加显著。传统安全策略的两个典型特征凸显了风险:
- 管理员可以访问设备的内部结构
- 经过身份验证的用户可以随意访问公司网络上的各种应用程序和资源,从而增加了不良行为者横向移动的风险
更好的方法:Cloudflare的SASE平台
Cloudflare One是Cloudflare的SSE和单一供应商SASE平台,广泛涵盖安全和网络服务。重点在于:
-
零信任原则:Cloudflare One遵循最低权限原则,成功验证的用户只能访问其角色所需的资源和应用程序。这在用户帐户遭到入侵时尤其重要,因为不良行为者不会获得毫无限制的网络级访问权限,从而有效减少影响范围。
-
无外部访问权限:Cloudflare One不提供对系统内部的任何外部访问权限,这意味着不良行为者无法发起对Ivanti设备内部的攻击。
结论
如果您的组织受到CISA指令的影响,或者希望现代化并增强或替换当前的VPN解决方案,Cloudflare可以为您提供帮助。Cloudflare的零信任网络访问(ZTNA)服务是将任何用户连接到任何应用程序的最快、最安全的方式。
欢迎联系我们以获得入门协助,或安排架构研讨会,帮助您增强或替换Ivanti(或任何)VPN解决方案。还没有准备好进行实时对话?请阅读我们的学习路径文章,了解如何使用Cloudflare替换您的VPN,或查阅我们的SASE参考架构,以了解所有SASE服务如何协同工作。
