组织应当假设Ivanti Connect Secure和Ivanti Policy Secure网关已遭到最近漏洞的侵害,并开始寻找恶意活动,五眼联盟国家的政府机构表示。
Ivanti VPN漏洞概述
在一份联合顾问中,美国、英国、加拿大、澳大利亚和新西兰的机构警告称,存在对三个Ivanti VPN漏洞的持续利用,这些漏洞允许攻击者绕过身份验证并以高权限执行命令。
这些漏洞被追踪为CVE-2023-46805、CVE-2024-21887和CVE-2024-21893,于1月31日修复,此前中国黑客被发现利用其中两个作为零日漏洞。此外,还有两个漏洞CVE-2024-21888和CVE-2024-22024也在同一产品中得到解决。
应对措施与工具
Ivanti发布了一个完整性检查工具(ICT),以帮助组织寻找妥协迹象。然而,根据网络安全和基础设施安全局(CISA)的说法,该ICT存在缺陷,“网络威胁行为者可能在发出出厂重置后仍能获得根级持久性”。
五眼联盟的政府机构建议组织假设受影响设备上存储的凭证已被妥协,并开始在其网络上寻找恶意活动,运行Ivanti的最新ICT版本,并应用可用的补丁。
复杂威胁的应对策略
联合顾问指出:“根据各组织在事件响应活动中的观察以及可用的行业报告,结合CISA的研究结果,建议网络防御者假设复杂的威胁行为者可能在经过重置的设备上部署根级持久性,并在任意时间内保持潜伏。”
五眼联盟机构还提供了与Ivanti VPN利用相关的妥协指标(IoCs)、一套Yara规则以帮助检测,以及关于事件响应和缓解的建议。
Ivanti的回应与后续更新
Ivanti和Mandiant提供的信息被纳入五眼联盟的联合顾问中。Ivanti解释说,CISA在实验室研究中使用的技术在攻击中未被观察到,并且在实际应用中相同的条件会中断与设备的连接,从而阻止攻击者获得持久性。
Ivanti发言人在电子邮件中表示:“我们欢迎来自安全和政府合作伙伴的发现,帮助我们的客户在面对这种不断演变和高度复杂的威胁时保护自己。需要明确的是,2月29日的顾问不包含新漏洞的信息,Ivanti及我们的合作伙伴未发现实施Ivanti推荐的安全更新和出厂重置后成功威胁行为者持久性的实例。”
最新补丁与完整性检查工具
在2月27日,Ivanti宣布发布增强版ICT,该工具可以基于已知的威胁活动检测受影响设备上的新文件或更改的文件。该公司还根据与Mandiant合作进行的攻击调查结果发布了更新的建议。
增强版ICT“为客户的设备及其系统上存在的所有文件提供额外的可见性。增强版外部ICT将不再需要支持来解密客户的快照。当发现新文件和/或已修改文件时,外部ICT将为客户提供未加密的快照以供其自行审查。”
然而,Ivanti解释说,ICT仅旨在补充其他工具。如果设备已重置,则无法识别恶意活动,因此应使用其他工具来监控扫描之间的更改并查找恶意软件和其他IoCs。
结论
Ivanti、Mandiant、CISA及其他JCSA组织继续建议防御者应用Ivanti提供的可用补丁指导,如果尚未执行,请运行Ivanti于2月27日发布的更新版完整性检查工具(ICT),以帮助检测已知攻击向量,并进行持续监控。
相关链接:
- 中国网络间谍在Ivanti VPN攻击中使用新恶意软件
- Ivanti漏洞被利用以交付新“DSLog”后门
- CISA设定48小时期限以移除不安全的Ivanti产品
注意: 本文仅供参考,建议用户定期检查相关产品的安全更新并采取必要的安全措施。
