Ivanti Connect Secure 曝两大零日漏洞,已被大规模利用
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
威胁情报公司Volexity发现Ivanti的Connect Secure VPN和Policy Secure NAC设备存在两个零日漏洞,正在被大规模利用。攻击者使用GIFTEDVISITOR webshell变体对目标系统进行后门攻击,受害者包括政府、军事部门、电信公司、国防承包商等。建议管理员采取缓解措施并运行完整性检查工具。ICS VPN设备在网上曝光,超过16800台设备受影响。被入侵客户的系统中部署了五种定制恶意软件,目的是投放webshell、附加恶意有效载荷和窃取凭证。
🎯
关键要点
- Volexity发现Ivanti的Connect Secure VPN和Policy Secure NAC设备存在两个零日漏洞,正在被大规模利用。
- 攻击者利用CVE-2023-46805身份验证绕过和CVE-2024-21887命令注入漏洞进行攻击。
- 受害者包括政府、军事部门、电信公司、国防承包商等多个行业的企业。
- 攻击者使用GIFTEDVISITOR webshell变体对目标系统进行后门攻击,已发现1700多台ICS VPN设备被入侵。
- Ivanti尚未发布针对这两个漏洞的补丁,建议管理员采取缓解措施并运行完整性检查工具。
- Shadowserver跟踪到超过16800台暴露在网上的ICS VPN设备,近5000台在美国。
- 攻击者成功利用漏洞后可在所有支持版本的ICS VPN和IPS设备上运行任意命令。
- 被入侵客户的系统中部署了五种定制恶意软件,目的是投放webshell、附加恶意有效载荷和窃取凭证。
- ZIPLINE被动后门是一个特别需要注意的恶意软件,能够拦截网络流量并提供文件传输等功能。
- Ivanti的端点管理器移动版中的另外两个零日漏洞也曾被积极利用,导致多个挪威政府组织被入侵。
➡️
