Ivanti 终于开始修补 10 月 2024 日在其 Connect Secure VPN 设备中披露的两个零日安全漏洞。然而,它今天还宣布了该平台中的另外两个错误:CVE-21888-2024 和 CVE-21893-XNUMX,后者也在野外被积极利用。
Ivanti 已发布第一轮补丁 对于原始的零日集合(CVE-2024-21887和CVE-2023-46805) 但仅适用于某些版本;该公司在今天更新的公告中表示,未来几周将分阶段推出更多修复措施。与此同时,Ivanti 提供了一种缓解措施,未打补丁的组织应立即应用,以避免成为受害者 中国国家支持的行为者的大规模剥削 以及出于经济动机的网络犯罪分子。
多个自定义恶意软件锚定数据盗窃攻击
那个 剥削继续有增无减。据 Mandiant 称,自 5221 月初以来,一种名为 UNC2024 的中国支持的高级持续威胁 (APT) 一直是大量攻击活动的幕后黑手。但自 21888 月初公布 CVE-2024-21893 和 CVE-XNUMX-XNUMX 以来,总体活动大幅增加。
Mandiant 研究人员在报告中表示:“除了 UNC5221 之外,我们还承认一个或多个相关群体可能与该活动有关。” Ivanti 网络攻击分析 今天发布。 “UNC5221 之外的其他组织很可能已经采用了一种或多种[与妥协相关的]工具。”
截至目前,Mandiant 发布了有关 UNC5221 和其他攻击者在攻击 Ivanti Connect Secure VPN 时使用的恶意软件类型的更多信息。到目前为止,他们在野外观察到的植入物包括:
-
LightWire Web shell 的一种变体,可将自身插入 VPN 网关的合法组件中,现在具有不同的混淆例程。
-
两个 UNC5221 自定义 Web shell,称为“ChainLine”和“FrameSting”,它们是嵌入 Ivanti Connect Secure Python 包中的后门,可实现任意命令执行。
-
ZipLine,UNC5221 使用的被动后门,它使用自定义的加密协议来建立与命令和控制 (C2) 的通信。其功能包括文件上传和下载、反向shell、代理服务器和隧道服务器。
-
WarpWire 凭证盗窃恶意软件的新变种,可窃取明文密码和用户名,以便渗透到硬编码的 C2 服务器。 Mandiant 并未将所有变体归因于 UNC5221。
-
以及多种开源工具,可支持有限数量的受害者环境中的内部网络侦察、横向移动和数据泄露等利用后活动。
Qualys 威胁研究部门网络威胁总监 Ken Dunham 表示:“国家行为者 UNC5221 已成功瞄准并利用 Ivanti 中的漏洞来窃取配置数据、修改现有文件、下载远程文件以及反向网络内隧道。”他警告说Ivanti 用户应警惕针对其客户、合作伙伴和供应商的供应链攻击。 “Ivanti 很可能成为攻击目标,因为它为参与者提供的功能和架构如果受到损害,作为网络和 VPN 解决方案,就会进入感兴趣的网络和下游目标。”
除了这些工具之外,Mandiant 研究人员还标记了绕过 Ivanti 最初权宜之计缓解技术的活动,详情请参阅原始通报;在这些攻击中,未知的网络攻击者正在部署一个名为“Bushwalk”的自定义网络间谍 Web shell,它可以读取或写入服务器上的文件。
研究人员表示,“该活动具有高度针对性、有限性,与咨询后的大规模剥削活动不同。”他们还为防御者提供了广泛的妥协指标 (IoC) 和 YARA 规则。
Ivanti 和 CISA 发布了更新的缓解指南 昨天该组织应申请。
两个新的高严重性零日漏洞
除了针对三周前的错误推出补丁之外,Ivanti 还在同一通报中添加了针对两个新 CVE 的修复。他们是:
-
CVE-2024-21888(CVSS 评分:8.8):Ivanti Connect Secure 和 Ivanti Policy Secure 的 Web 组件中存在权限提升漏洞,允许网络攻击者获得管理员权限。
-
CVE-2024-21893(CVSS 评分:8.2):Ivanti Connect Secure、Ivanti Policy Secure 和 Ivanti Neurons for ZTA 的 SAML 组件中存在服务器端请求伪造漏洞,允许网络攻击者访问“某些未经身份验证的受限资源”。
根据 Ivanti 的建议,只有后者的漏洞在野外传播,并且该活动“似乎是有针对性的”,但它补充说,组织应该“预期一旦这些信息公开,利用就会急剧增加 - 类似于我们观察到的情况” 11 月 10 日披露后的 XNUMX 月 XNUMX 日。”
Qualys TRU 的 Dunham 表示,预计攻击将不仅仅来自 APT:“在组织修补和强化攻击之前,多个参与者正在利用漏洞利用机会 Ivanti 已被民族国家参与者武器化,现在可能还有其他参与者 — 它应该引起您的关注并如果您在生产中使用易受攻击的版本,则优先修补。”
研究人员还警告说,妥协的结果可能对组织来说是危险的。
Keeper Security 安全与架构副总裁 Patrick Tiquet 表示:“这些 [新] Ivanti 高安全性缺陷非常严重 [并且对攻击者来说尤其有价值],应该立即修补。” “这些漏洞如果被利用,可能会授予对敏感系统的未经授权的访问并危及整个网络。”
- :具有
- :是
- :不是
- $UP
- 10
- 11
- 12
- 14
- 7
- 8
- 9
- a
- ACCESS
- 根据
- 承认
- 要积极。
- 活动
- 活动
- 演员
- 添加
- 增加
- 额外
- 附加信息
- 采用
- 高级
- 高级持续威胁
- 优点
- advisory
- 驳
- 一样
- 所有类型
- 允许
- 还
- an
- 锚
- 和
- 公布
- 出现
- 家电
- 使用
- APT
- 随意
- 架构
- 保健
- AS
- 相关
- At
- 攻击
- 攻击
- 关注我们
- 认证
- 避免
- 背部
- 后门
- 后门程序
- BE
- 很
- 开始
- 背后
- 超越
- 虫子
- 但是
- by
- 绕行
- 被称为
- 呼叫
- CAN
- 一定
- 链
- 中文
- 圆
- CISA
- 未来
- 未来几周
- 通信
- 公司
- 元件
- 妥协
- 妥协
- 配置
- 分享链接
- 继续
- 习俗
- 合作伙伴
- 网络攻击
- 网络罪犯
- 危险的
- data
- 十二月
- 捍卫者
- 部署
- 详细
- 不同
- 副总经理
- 泄露
- 不同
- 不
- 下载
- 两
- 此前
- 早
- 嵌入式
- enable
- 加密
- 整个
- 环境中
- 升级
- 建立
- 醚(ETH)
- 执行
- 渗出
- 现有
- 期望
- 开发
- 剥削
- 功勋
- 广泛
- 落下
- 远
- 特色
- 文件
- 档
- 终于
- 经济
- 姓氏:
- 固定
- 已标记
- 缺陷
- 以下
- 针对
- 狂热
- 新鲜
- 止
- 汽油
- 功能
- 功能
- Gain增益
- 网关
- 其他咨询
- 去
- 授予
- 组的
- 有
- 高度
- 但是
- HTTPS
- ICON
- if
- 立即
- in
- 包括
- 增加
- 指标
- 信息
- 初始
- 刀片
- 兴趣
- 内部
- 成
- 发行
- IT
- 它的
- 本身
- Ivanti
- 一月三十一日
- 一月
- JPG
- 只是
- 合法
- 喜欢
- 容易
- 有限
- 制成
- 恶意软件
- 质量
- 可能..
- 与此同时
- 减轻
- 修改
- 更多
- 动机
- 运动
- 多
- 网络
- 工业网络
- 网络
- 神经元
- 全新
- 现在
- 数
- 观察
- of
- on
- 一旦
- 一
- 仅由
- 打开
- 开放源码
- 机会
- or
- 组织
- 原版的
- 其他名称
- 其它
- 输出
- 包
- 对
- 尤其
- 伙伴
- 被动
- 密码
- 打补丁
- 补丁
- 修补
- 帕特里克
- 纯文本
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 政策
- 可能性
- 总统
- 先
- 优先
- 特权
- 权限
- 生产
- 协议
- 提供
- 提供
- 代理
- 国家
- 蟒蛇
- RE
- 阅读
- 有关
- 发布
- 远程
- 请求
- 研究
- 研究人员
- 资源
- 受限
- 导致
- 反转
- 滚
- 卷
- 圆
- 常规
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- s
- 说
- 同
- 说
- 始你
- 得分了
- 安全
- 保安
- 敏感
- 严重
- 服务器
- 集
- 尖锐
- 壳
- 应该
- 类似
- 自
- So
- 至今
- 方案,
- 一些
- 来源
- 抢断
- 顺利
- 供销商
- 供应
- 供应链
- SUPPORT
- 产品
- 服用
- 针对
- 目标
- 技术
- 比
- 这
- 盗窃
- 其
- 博曼
- 他们
- Free Introduction
- 威胁
- 至
- 今晚
- 工具
- TRU
- 隧道
- 二
- 类型
- 擅自
- 下
- 单元
- 不明
- 更新
- 用过的
- 用户
- 使用
- 运用
- 有价值
- 变种
- 版本
- 副
- 副总裁
- 受害者
- VPN
- VPN的
- 漏洞
- 漏洞
- 脆弱
- 警告
- we
- 卷筒纸
- 周
- 为
- 什么是
- 这
- WHO
- Wild!!!
- 将
- 中
- 也完全不需要
- 写
- 昨天
- 您
- 您一站式解决方案
- 和风网