Ivanti 漏洞 2024(编号为 CVE-2024-21893,影响 Ivanti Connect Secure 和 Ivanti Policy Secure)目前由于服务器端请求伪造 (SSRF) 缺陷而面临众多攻击者的广泛利用。
CVE-2024-21893:Ivanti 漏洞 2024 的详细信息
2024 年 1 月 31 日,Ivanti 最初发布了有关网关 SAML 组件中此漏洞的警报,将其指定为零日漏洞,因为该漏洞的活跃利用(尽管有限)影响了一些客户端。 违反 CVE-2024-21893 使犯罪者能够绕过身份验证措施并获得对受影响模型(版本 9.x 和 22.x)上受限区域的访问权限。
威胁监控实体 Shadowserver 报告称,观察到利用尝试激增,有 170 个唯一 IP 地址针对 2024 年 Ivanti 漏洞。
We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz
— Shadowserver (@Shadowserver) February 4, 2024
针对 CVE-2024-21893 的这些攻击的频率和强度超过了最近已解决或缓解的其他 Ivanti 漏洞所观察到的攻击频率和强度,突显了攻击者策略的重要关键点。
概念验证 (PoC) 漏洞利用的传播 Rapid7 的研究人员 2024 年 2 月 2 日发生的事件可能促成了这些攻击。 然而,Shadowserver 的调查结果表明,在 Rapid7 调查结果公开之前 2024 小时,攻击者就采用了类似的策略来利用 Ivanti 漏洞,这表明攻击者已经先发制人地掌握了利用 CVE-2024-21893 的技术,以不受限制、未经身份验证地访问易受影响的 Ivanti端点。
ShadowServer 的分析显示,目前约有 22,500 个 Ivanti Connect Secure 设备可在线访问,但易受此特定缺陷影响的确切数量仍不确定。
CVE-2024-21893 的披露引发了复杂的安全困境,同时发布了安全补丁,解决了影响相同 Ivanti 产品的另外两个零日漏洞:CVE-2023-46805 和 CVE-2024-21887(最初确定)由 Ivanti 于 2024 年 1 月 10 日发布。Ivanti 发现后立即分享了临时对策。 这些漏洞已被名为 UTA0178/UNC5221 的中国间谍实体利用,利用它们在受感染的系统中植入 Webshell 和后门。 1 月中旬,此次渗透活动达到高峰,约有 1,700 台设备受到影响。
尽管 Ivanti 进行了早期干预尝试,但攻击者仍成功绕过了这些初始防护措施,甚至篡改了设备的配置文件。 这导致 Ivanti 推迟了原定于 1 月 22 日部署的固件更新,以有效应对这一高级威胁。
受影响的 Ivanti 策略安全 VPN 设备
在这些严重的零日漏洞不断被利用的情况下,再加上受影响产品的某些版本缺乏强有力的对策和更新,美国网络安全和基础设施安全局 (CISA) 已要求联邦机构切断与所有 Ivanti 政策的连接安全 VPN 设备受到影响。 仅允许已恢复出厂设置并已更新至最新固件版本的设备重新连接。 尽管如此,仍然容易受到影响的旧版本仍然缺乏纠正更新。
您需要了解的一切 Equifax 数据泄露和解
尽管并非强制要求,但私营部门实体也建议遵守该指令。 因此,敦促组织仔细评估其 Ivanti 解决方案的安全状况及其网络环境的整体可靠性。
CVE-2024-21893 等漏洞暴露了组织在保护数字基础设施方面面临的复杂挑战。 Ivanti 漏洞 2024 的广泛利用凸显了采取迅速、主动的措施来修补已知安全漏洞和加强防御的至关重要性。 这是一个鲜明的提醒,要求所有部门的实体保持警惕,持续监控其系统是否存在异常活动,并遵守网络安全卫生的最佳实践。 随着对手的复杂性不断发展,我们的防御战略也必须如此,以确保我们的数字生态系统的完整性和弹性,抵御始终存在的网络利用威胁。
特色图片来源: 凯雷姆·葛兰/中途
