Ivanti VPN零日漏洞CVE-2023-46805、CVE-2024-21887助长了广泛的网络攻击

安全侠2024-01-17 11:46:24
Ivanti VPN设备中的漏洞使未经身份验证的远程黑客能够危害目标设备、执行任意命令、渗透内部网络并窃取敏感数据。


威胁情报公司Volexity发现,利用2023年12月第二周发现的两个Ivanti零日漏洞的攻击有所增加。


据Volexity称,至少有20个使用Ivanti Connect Secure VPN设备的组织在利用Ivanti零日漏洞CVE-2023-46805和CVE-2024-21887的网络攻击中受到损害 。Volexity已“中等信心”地证实,受感染系统的数量可能比其发现的数量还要多。


Volexity研究人员发现的这些缺陷影响了Ivanti Connect Secure VPN和Policy Secure NAS设备,并于上周由Avanti披露。


1月10日,Volexity警告称 ,一个据称UTA0178组织利用这些漏洞访问内部网络并窃取信息。1月11日,该公司观察到一系列针对Ivanti VPN设备的针对性攻击,导致这些漏洞被广泛利用。


CVE-2023-46805是一个身份验证绕过缺陷,CVSS评级为8.2,影响Ivanti ICS 9.x、22.x和Ivanti Policy Secure。第二个缺陷CVE-2024-21887是一个命令注入漏洞,CVSS评分为9.1,影响Ivanti Connect Secure 9.x、22.x和Ivanti Policy Secure。


如果被利用,未经身份验证的远程攻击者可以通过执行任意命令、渗透内部网络和窃取敏感数据来危害目标设备。


Volexity指出,一个未知的APT组织于2023年12月对ICS VPN设备发起了初步攻击,下载恶意软件工具包进行间谍活动。此后,多个威胁参与者使用GIFTEDVISITOR Webshel​​l变体攻击了数百台设备并给目标系统添加了后门。


研究人员在扫描50000个Ivanti VPN链接IP后透露,截至2023年1月14日,超过1700台ICS VPN设备遭到入侵。美国和欧洲的受害者比例最高,影响范围从政府、军事、电信、国防、科技、银行、金融、会计、航空航天、航空和工程领域的小型企业到财富500强公司。


Mandiant还观察到,一个名为UNC5221的疑似国家支持的威胁行为者上个月利用这些缺陷部署了多达5个自定义恶意软件系列。其中包括ZIPLINE后门、WARPWIRE凭证收集器、THINSPOOL shell脚本释放器和LIGHTWIRE Web shell。


Mandiant在报告中指出,威胁行为者UNC5221发起了“机会主义攻击”,以维持对其“在补丁不可避免地发布后”受到损害的高优先级目标的持续性。


Ivanti计划在2024年1月22日之前发布补丁来修复这些缺陷,最终补丁预计将于2024年2月19日发布。在补丁发布之前,可以使用解决方法来防止利用。使用易受攻击产品的组织应立即实施。

网络攻击零日漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
美国农业部发言人表示,他们可能遭到了Clop的攻击,该部门将首次因为数据泄露接受调查。多个州级组织也宣布遭遇MOVEit漏洞相关的数据泄露事件。此次遭利用的MOVEit SQL注入零日漏洞CVE-2023-34362。CISA通报称,Clop组织在5月27日开始利用该漏洞发起攻击。俄乌战争伊始,哥斯达黎加27个政府机构受到俄罗斯组织Conti的勒索软件攻击,该国总统被迫宣布全国紧急状态。美国联邦调查人员后来表示,他们通过网络行动,追回了大部分赎金。
Ivanti VPN设备中的漏洞使未经身份验证的远程黑客能够危害目标设备、执行任意命令、渗透内部网络并窃取敏感数据。
7月底,谷歌网络安全项目Project Zero发布报告,描述2019年网络攻击中的漏洞利用,得出了关于零日漏洞检测的一些有趣结论。Stone还指出,在微软产品中发现的11个零日漏洞里,只有4个针对Windows 10用户,这也可能是检测偏差的一个指征。相反,这一现象恰恰表明,安全行业应该重点检测针对上述操作系统的攻击。这很令人惊讶,因为供应商应该更便于检测零日漏洞
据了解,现在的两个CAS管理界面的零日漏洞在两个版本中已经得到了修复,这两个版本分别是20220725.22和20220531.38。部署全面的防入侵系统,有网络保护、应用完整性检查以及内容确认和取证能力等功能。
研究人员近期发现,Lazarus 黑客组织正在试图利用 Windows AppLocker 驱动程序 appid.sys 中的零日漏洞 CVE-2024-21338,获得内核级访问权限并关闭安全工具,从而能够轻松绕过 BYOVD(自带漏洞驱动程序)技术。
2021年,零日漏洞的数量增长了一倍,价格增长了十倍,但攻击回报增长了百倍!
还有一些更为罕见、更危险的漏洞,能够在受害者无意识甚至无操作的情况下中招的漏洞,价格会更高。Zerodium曾表示,可以支付高达数百万美元。根据谷歌Project Zero团队的研究,去年发现了将近60个新的零日。这是自2014年该团队成立以来最多产的一年。
一些没有被软件制造商所发现的漏洞,正在被很多的黑客组织以及勒索软件团伙进行利用。PrestaShop表示,没有被攻击的用户,在不需要使用MySQL Smarty缓存存储功能的时候,建议删除该功能,虽然这个功能是默认禁用的,但是调查发现,这次的攻击中有黑客独立启用它的证据。
插件开发人员WPChef已在2020年6月至2020年12月间解决了这些漏洞。这个WordPress插件旨在成为一种暴力攻击保护机制,目前已安装在超过一百万的活动安装中。另一个是未经身份验证的反射XSS。
联邦地方机构纷纷被黑,海量公民数据遭勒索。
安全侠
暂无描述