根据美国网络安全和基础设施安全局(CISA)的指令,由于存在被积极利用的漏洞,美国联邦机构必须在今天结束前移除受影响的软件。本文将对这一事件进行详细分析。
漏洞背景
在1月份,Ivanti警告客户黑客正在利用其Ivanti Connect Secure和Ivanti Policy Secure中的两个零日漏洞。本周,该公司透露在此期间又发现了两个其他漏洞,其中一个已经在针对性的攻击中被利用。
虽然现在针对这四个漏洞的补丁已经发布,但CISA仍然发出了紧急指令,要求所有联邦机构在2月2日(星期五)结束前将受影响的Ivanti产品从其网络中断开,并进行额外的取证分析和清理步骤,以防其已经被攻破。
CISA紧急指令内容如下:
“请尽快,最晚在2024年2月2日星期五晚上11:59之前,将所有Ivanti Connect Secure和Ivanti Policy Secure解决方案的实例从机构网络中断开。继续对任何连接过或最近连接过受影响Ivanti设备的系统进行威胁狩猎。监控可能暴露的身份验证或身份管理服务。尽可能将系统与任何企业资源隔离。继续审核特权级别访问账户。”
虽然CISA只对政府机构拥有权威,但如果其Ivanti实例已被攻破,私营组织也应遵循相同的建议,以确保黑客不再能够访问其网络。
Ivanti漏洞数量的增加
这一新指令于1月31日发布,取代了1月19日发布的指令,该指令仅要求机构部署Ivanti为CVE-2023-46805(身份验证绕过)和CVE-2024-21887(命令注入)漏洞发布的临时缓解措施。这两个漏洞最初是由中国国家行为者在野外被利用的零日漏洞。
在Ivanti于1月10日发布公告后,多个团体开始利用这些漏洞,至少有1700台设备受到影响。还报道称,一些攻击者可能绕过了缓解措施,并能够规避内部完整性检查工具,该工具可以用来判断系统是否被植入后门。Ivanti随后发布了一个外部完整性检查工具。
然而,在1月31日,Ivanti披露了在调查之前两个漏洞时发现的另外两个漏洞:一个被追踪为特权升级漏洞(CVE-2024-21888),另一个是SAML组件中的服务器端请求伪造(CVE-2024-21893)。后者允许攻击者在未进行身份验证的情况下访问受限资源,并且也被利用为零日漏洞。
Ivanti在更新的知识库文章中表示:
“在发布时,CVE-2024-21893的利用似乎是有针对性的。Ivanti预计威胁行为者将改变其行为,并预计一旦这一信息公开,利用活动会急剧增加——这与我们在1月10日后观察到的情况类似。”
额外的风险缓解步骤
截至2月1日,所有受影响产品的修复版本已可用。然而,CISA要求机构导出其配置,重建受影响设备,通过恢复出厂设置并更新固件,然后再导入配置,并删除之前应用的缓解XML文件。
此外,撤销和重新签发任何可能暴露的证书、密钥和密码,包括管理员启用密码、存储的应用程序编程接口(API)密钥以及网关上定义的任何本地用户的密码,包括用于身份验证服务器配置的服务账户。
与受影响产品相关的域账户也可能已被攻破,因此机构应重置本地账户的密码,撤销Kerberos票证以及混合部署中云账户的任何令牌。云连接设备的设备令牌也应通过禁用这些设备来重置。
总结
CISA的紧急指令提醒我们,网络安全的威胁时刻存在,企业和机构必须持续监控和更新其安全措施,以防止潜在的攻击。对于所有使用Ivanti产品的组织来说,遵循CISA的建议至关重要,以确保网络的安全与稳定。
