Ivanti VPN零日漏洞CVE-2023-46805、CVE-2024-21887助长了广泛的网络攻击

Ivanti VPN设备中的漏洞使未经身份验证的远程黑客能够危害目标设备、执行任意命令、渗透内部网络并窃取敏感数据。

威胁情报公司Volexity发现，利用2023年12月第二周发现的两个Ivanti零日漏洞的攻击有所增加。

据Volexity称，至少有20个使用Ivanti Connect Secure VPN设备的组织在利用Ivanti零日漏洞CVE-2023-46805和CVE-2024-21887的网络攻击中受到损害 。Volexity已“中等信心”地证实，受感染系统的数量可能比其发现的数量还要多。

Volexity研究人员发现的这些缺陷影响了Ivanti Connect Secure VPN和Policy Secure NAS设备，并于上周由Avanti披露。

1月10日，Volexity警告称 ，一个据称UTA0178组织利用这些漏洞访问内部网络并窃取信息。1月11日，该公司观察到一系列针对Ivanti VPN设备的针对性攻击，导致这些漏洞被广泛利用。

CVE-2023-46805是一个身份验证绕过缺陷，CVSS评级为8.2，影响Ivanti ICS 9.x、22.x和Ivanti Policy Secure。第二个缺陷CVE-2024-21887是一个命令注入漏洞，CVSS评分为9.1，影响Ivanti Connect Secure 9.x、22.x和Ivanti Policy Secure。

如果被利用，未经身份验证的远程攻击者可以通过执行任意命令、渗透内部网络和窃取敏感数据来危害目标设备。

Volexity指出，一个未知的APT组织于2023年12月对ICS VPN设备发起了初步攻击，下载恶意软件工具包进行间谍活动。此后，多个威胁参与者使用GIFTEDVISITOR Webshel​​l变体攻击了数百台设备并给目标系统添加了后门。

研究人员在扫描50000个Ivanti VPN链接IP后透露，截至2023年1月14日，超过1700台ICS VPN设备遭到入侵。美国和欧洲的受害者比例最高，影响范围从政府、军事、电信、国防、科技、银行、金融、会计、航空航天、航空和工程领域的小型企业到财富500强公司。

Mandiant还观察到，一个名为UNC5221的疑似国家支持的威胁行为者上个月利用这些缺陷部署了多达5个自定义恶意软件系列。其中包括ZIPLINE后门、WARPWIRE凭证收集器、THINSPOOL shell脚本释放器和LIGHTWIRE Web shell。

Mandiant在报告中指出，威胁行为者UNC5221发起了“机会主义攻击”，以维持对其“在补丁不可避免地发布后”受到损害的高优先级目标的持续性。

Ivanti计划在2024年1月22日之前发布补丁来修复这些缺陷，最终补丁预计将于2024年2月19日发布。在补丁发布之前，可以使用解决方法来防止利用。使用易受攻击产品的组织应立即实施。