跳到内容

2024年CISA紧急指令:应对Ivanti Connect Secure和Policy Secure漏洞

更新时间
连续6年不跑路的安全速度最适合国人VPN
连续6年不跑路的安全速度最适合国人VPN

发布日期:2024年1月19日
来源:网络安全和基础设施安全局(CISA)

紧急指令概述

2024年1月19日,CISA发布了紧急指令24-01,以应对Ivanti Connect Secure和Ivanti Policy Secure的漏洞。CISA有权针对已知或合理怀疑的信息安全威胁、漏洞或事件发布紧急指令,所有美国联邦机构必须遵守这些指令。

漏洞的性质与威胁

联邦机构被指示在三天内采取缓解措施,针对最近发现的两个漏洞。CISA的进一步监控显示,威胁行为者正在利用这些漏洞,并针对早期的缓解措施和检测方法开发应对策略。1月31日,CISA发布了补充指令V1,要求各机构立即断开Ivanti Connect Secure和Ivanti Policy Secure产品的所有实例与机构网络的连接,待执行多项操作后方可重新投入使用。

威胁行为者的策略

根据Volexity博客上的取证调查,攻击早在2023年12月就已开始。证据显示,威胁行为者将两个未知漏洞结合,以获取对Connect Secure和Policy Secure设备的访问权限并实现未经身份验证的远程代码执行(RCE)。

  • CVE-2023-46805:Web组件中的身份验证绕过漏洞,允许远程攻击者绕过控制检查并获取受限资源的访问权限。
  • CVE-2024-21887:Web组件中的命令注入漏洞,允许经过身份验证的管理员在设备上执行任意命令并发送特制请求。

通过利用这些漏洞,威胁行为者几乎完全控制了设备,并能够:

  • 收集登录VPN服务用户的凭据
  • 使用这些凭据登录受保护系统以搜索更多凭据
  • 修改文件以启用远程代码执行
  • 将Web Shell部署到多个Web服务器
  • 建立反向隧道与其命令和控制服务器(C2)的连接
  • 通过禁用日志记录和清除现有日志来避开检测

小设备,大风险

此次事件使客户面临重大风险。CISA发布指令是合理的,Ivanti正努力减轻威胁并为其设备上的软件开发补丁。然而,这也反映了传统“城堡与护城河”安全范式的不足。在这一模式中,远程用户位于城堡外,而受保护的应用程序和资源则留在城堡内。

风险特征

这一事件揭示了当攻击者能够控制护城河本身时,客户恢复控制权所面临的挑战。传统安全策略的两个典型特征凸显了风险:

  1. 管理员可以访问设备的内部结构。
  2. 经过身份验证的用户可以随意访问公司网络上的各种应用程序和资源,从而增加了不良行为者横向移动的风险。

更好的方法:Cloudflare的SASE平台

Cloudflare One是Cloudflare的SSE和单一供应商SASE平台。虽然Cloudflare One涵盖广泛的安全和网络服务,但我想重点强调上述两个方面。

零信任原则

首先,Cloudflare One采用零信任原则,包括最低权限原则。成功验证的用户只能访问其角色所需的资源和应用程序。这一原则在用户帐户遭到入侵的情况下尤为重要,因为不良行为者不会获得毫无限制的网络级访问权限。

内部结构安全

其次,Cloudflare One不提供对Cloudflare平台系统内部的任何外部访问权限。没有这种访问权限,不良行为者将无法发起有权访问Ivanti设备内部时所执行的攻击类型。

结论

如果您的组织受到CISA指令的影响,或者您希望现代化并增强或替换当前的VPN解决方案,Cloudflare可以为您提供帮助。Cloudflare的零信任网络访问(ZTNA)服务是Cloudflare One平台的一部分,是将任何用户连接到任何应用程序的最快、最安全的方式。

欢迎您随时联系我们以获得入门协助,或安排一场架构研讨会,帮助您增强或替换您的Ivanti(或任何)VPN解决方案。如果您还没有准备好进行实时对话,可以阅读我们的学习路径文章,了解如何使用Cloudflare替换您的VPN,或阅读我们的SASE参考架构,了解我们所有的SASE服务和入口如何协同工作。

立即行动,保护您的网络安全!

更新时间