快连VPN:速度和安全性最佳的VPN服务
最近,网络安全和IT管理软件巨头Ivanti的两款产品(Connect Secure VPN和Ivanti Policy Secure网络访问控制设备)曝出了两个严重的零日漏洞,这些漏洞正在全球范围内被大规模利用,导致后门、挖矿软件和自定义恶意软件的部署。
强烈关注的零日漏洞
这两个零日漏洞分别是:
- 身份验证绕过漏洞(CVE-2023-46805)
- 命令注入漏洞(CVE-2024-21887)
威胁情报公司Volexity在去年12月首次发现了这些漏洞的野外利用。攻击者可以利用这两个漏洞在受影响的ICS VPN和IPS设备上执行任意命令,进而横向移动、窃取数据并通过部署后门建立持久的系统访问权限。
16万VPN设备暴露于风险之中
根据威胁监控服务Shadowserver的最新数据,目前全球有超过16.2万个在线暴露的ICS VPN设备,其中美国的受影响设备超过4700台(Shodan还发现近17000个在线暴露的Ivanti ICS设备)。Shadowserver还监控了全球受感染Ivanti Connect Secure VPN实例的数量,仅在1月18日发现了420多个被黑设备。
CISA发布紧急指令
美国关键基础设施管理局(CISA)上周末发布了2024年首个紧急指令(ED24-01),要求美国联邦机构必须立即实施Ivanti公开披露的缓解措施。具体措施包括:
- 在2024年1月22日晚上11:59之前,通过Ivanti的下载门户下载并导入“mitigation.release.20240107.1.xml”。
- 立即向CISA报告任何攻击迹象。
- 从代理网络中删除受感染的产品,并启动事件分析。
- 恢复被感染的产品时,遵循Ivanti的恢复说明,包括撤销和重新颁发存储的证书、重置管理员启用密码等。
CISA还要求联邦机构在发布紧急指令一周后,提交Ivanti Connect Secure和Ivanti Policy Secure产品的完整清单,包括所采取的行动和结果的详细信息。
恶意软件的广泛部署
Mandiant安全专家发现了五种定制恶意软件菌株部署在被入侵的Ivanti客户系统上,目标是窃取凭据、部署Webshell和其他恶意负载。攻击中使用的工具包括:
- Zipline Passive Backdoor:可拦截网络流量,支持文件上传/下载、创建反向shell和代理。
- Thinspool Dropper:将Lightwire Web shell写入Ivanti CS。
- Wirefire Web shell:支持未经身份验证的任意命令执行。
- Lightwire Web shell:嵌入合法文件中的自定义Perl Web shell。
- Warpwire Harvester:收集登录凭据并发送到C2服务器。
- PySoxy隧道器:促进网络流量隧道的隐蔽性。
突出的威胁
最值得注意的工具是Zipline,它是一种被动后门,可以拦截传入的网络流量并提供文件传输、反向shell、隧道和代理功能。Volexity报告称,一个疑似国家黑客组织的攻击者已使用GIFTEDVISITOR Webshell变体为2100多台Ivanti设备添加了后门。
结论
Ivanti的产品在过去一年中多次曝出零日漏洞被利用的情况,安全形势不容乐观。用户和相关机构应立即采取措施,确保系统安全,避免成为下一个攻击目标。
参考链接
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
