最近,Shadowserver 基金会的研究人员发现,成千上万的互联网暴露的 Ivanti VPN 设备可能受到最近披露的漏洞影响,该漏洞可能导致远程代码执行。本文将深入探讨这一漏洞的细节及其对用户的影响。
漏洞概述
CVE-2024-21894(CVSS 8.2)被描述为 Ivanti Connect Secure(前称 Pulse Connect Secure)和 Policy Secure 中 IPSec 组件的堆溢出漏洞。此漏洞可能被远程、未经身份验证的攻击者利用,导致拒绝服务(DoS)状态或执行任意代码。
Ivanti 的回应
在 4 月 2 日,Ivanti 发布了软件更新,以修复此漏洞及其两款 VPN 设备中的其他三个漏洞,包括 CVE-2024-22053,这也是一个高严重性的堆溢出漏洞,可能导致 DoS。Ivanti 强烈建议所有用户更新其设备,尽管该公司表示在漏洞披露时并未意识到这些漏洞被实际利用。
漏洞影响的范围
根据 Shadowserver 的数据,截至 4 月 7 日,大约有 10,000 个可通过互联网访问的 Ivanti Connect Secure 和 Policy Secure 实例可能受到 CVE-2024-21894 的影响。Shadowserver 还表示,已识别出超过 16,000 个可能受影响的 Ivanti VPN 实例。
地区分布
大多数受影响的设备位于美国(3,700 台)和日本(1,700 台),其次是英国(860 台)、法国(710 台)、德国(570 台)、中国(440 台)、加拿大(300 台)和印度(290 台)。然而,目前尚不清楚这些设备中有多少是真正的 Ivanti VPN,或是诱饵设备,同时也无法确定观察到的实例减少是否由于打补丁造成的。
Ivanti 的安全挑战
Ivanti 最近遭遇了一系列零日攻击,导致其安全响应团队陷入混乱,并迫使美国政府发布了断开连接的指令。该公司表示,正在对整个网络安全组织进行全面改造。
相关链接
- Ivanti CEO 承诺在零日攻击后进行安全改造
- Ivanti 修复独立 Sentry 和 ITSM 的关键漏洞
- 各国政府敦促组织查找 Ivanti VPN 攻击
- 中国网络间谍在 Ivanti VPN 攻击中使用新恶意软件
结论
Ivanti VPN 漏洞的曝光提醒我们,网络安全的重要性不可忽视。用户应立即更新其设备,以防止潜在的攻击,同时保持对最新安全动态的关注。
强烈建议所有 Ivanti 用户尽快采取行动,确保其系统的安全性,以降低数据泄露和服务中断的风险。
