CISA发布紧急指令:修补Ivanti VPN软件的零日漏洞
网络安全和基础设施安全局(CISA)于上周五发布紧急指令,要求联邦机构修补其系统,以应对一款虚拟私人网络(VPN)软件中存在的活跃零日漏洞。
Ivanti Connect Secure VPN的漏洞概述
该紧急指令涉及Ivanti Connect Secure VPN和Policy Secure产品的一系列漏洞,这些漏洞于1月10日由总部位于犹他州的Ivanti公司公开发布。这是2023年的首个紧急指令。
Eric Goldstein,CISA网络安全执行助理主任,在周五的媒体通话中表示:“目前,我们正在调查针对各机构的潜在攻击,但尚未确认任何系统被攻破。”
受影响的机构和设备
Goldstein提到,CISA已知有“大约15个”机构使用了受影响的设备,但这些机构迅速采取了措施来缓解漏洞。Goldstein还表示,这次攻击活动似乎主要是机会主义性质的。
“我们和行业目前所见到的情况是,攻击者正在部署Web Shells,这当然是使攻击者能够在设备上保持一定持久性的代码片段,以便稍后进行各种活动,”Goldstein说道。
攻击活动的规模与影响
截至目前,网络安全公司Volexity报告称,这一攻击活动已影响全球至少2100台设备。Volexity首次发现这一漏洞利用是在12月的第一周,并将初步攻击活动归因于一个未知的中国国家级黑客组织,代号为UTA0178。然而,自初次攻击以来,许多其他威胁组织也加入了攻击行列。
CISA尚未将任何攻击者归因于此次活动,Goldstein在通话中表示,他们尚未看到任何证据表明北京方面在联邦机构网络上利用了这些漏洞。然而,中国国家黑客之前曾针对Ivanti产品进行过攻击。
黑客活动的具体表现
此外,网络安全公司GreyNoise发现,黑客正在受影响的Ivanti设备上部署加密货币矿工。Ivanti公司表示,他们“意识到在公开披露之前,受到漏洞影响的客户不足20个。”该公司还表示,他们没有证据表明这是一场供应链攻击。
CISA表示,已经观察到Ivanti漏洞的“广泛和活跃的利用”,如果这些漏洞被同时利用,可能导致网络的完全妥协。联邦行政部门的机构——即不属于军事和情报的政府部门和机构——预计将在周二之前满足修补的截止日期。
临时解决方案与未来的补丁
Ivanti发布了一种临时缓解措施,通过可以导入受影响软件的文件来实现,但尚未发布永久补丁。Goldstein表示,当补丁发布时,各机构应遵循CISA的额外指示。CISA还指出,联邦机构必须运行Ivanti的外部工具,以检查是否存在妥协。Volexity发现Ivanti的内部工具被修改,以至于无法检测任何妥协情况。
上周五,网络安全公司Mandiant发布了一篇关于漏洞利用的博客,详细说明了用于间谍活动和建立持久性的五种恶意软件菌株。谷歌旗下的公司并未将此次漏洞利用归因于任何特定的组织或地点,而是使用“UNC5221”来命名这一活动集群。然而,该公司怀疑此次活动是由受到间谍驱动的国家级组织所发起。
“UNC5221的活动表明,利用网络边缘的漏洞仍然是间谍活动者一个可行且有吸引力的目标,”该公司写道。“正如我们之前所报道的,零日漏洞利用、边缘设备妥协、使用妥协的C2基础设施以及编写代码到合法文件等检测规避方法,已成为间谍活动者工具箱的标志。”
结论
随着网络安全威胁的不断演变,联邦机构和企业必须保持警惕,及时更新和修补系统,以防止潜在的攻击和数据泄露。CISA的紧急指令提醒我们,网络安全的防护工作任重而道远。
