随着补丁的最终推出，更多 Ivanti VPN 零日攻击加剧

Ivanti 终于开始修补 10 月 2024 日在其 Connect Secure VPN 设备中披露的两个零日安全漏洞。然而，它今天还宣布了该平台中的另外两个错误：CVE-21888-2024 和 CVE-21893-XNUMX，后者也在野外被积极利用。

Ivanti 已发布第一轮补丁 对于原始的零日集合（CVE-2024-21887和CVE-2023-46805) 但仅适用于某些版本；该公司在今天更新的公告中表示，未来几周将分阶段推出更多修复措施。与此同时，Ivanti 提供了一种缓解措施，未打补丁的组织应立即应用，以避免成为受害者 中国国家支持的行为者的大规模剥削 以及出于经济动机的网络犯罪分子。

多个自定义恶意软件锚定数据盗窃攻击

那个 剥削继续有增无减。据 Mandiant 称，自 5221 月初以来，一种名为 UNC2024 的中国支持的高级持续威胁 (APT) 一直是大量攻击活动的幕后黑手。但自 21888 月初公布 CVE-2024-21893 和 CVE-XNUMX-XNUMX 以来，总体活动大幅增加。

Mandiant 研究人员在报告中表示：“除了 UNC5221 之外，我们还承认一个或多个相关群体可能与该活动有关。” Ivanti 网络攻击分析 今天发布。 “UNC5221 之外的其他组织很可能已经采用了一种或多种[与妥协相关的]工具。”

截至目前，Mandiant 发布了有关 UNC5221 和其他攻击者在攻击 Ivanti Connect Secure VPN 时使用的恶意软件类型的更多信息。到目前为止，他们在野外观察到的植入物包括：

Qualys 威胁研究部门网络威胁总监 Ken Dunham 表示：“国家行为者 UNC5221 已成功瞄准并利用 Ivanti 中的漏洞来窃取配置数据、修改现有文件、下载远程文件以及反向网络内隧道。”他警告说Ivanti 用户应警惕针对其客户、合作伙伴和供应商的供应链攻击。 “Ivanti 很可能成为攻击目标，因为它为参与者提供的功能和架构如果受到损害，作为网络和 VPN 解决方案，就会进入感兴趣的网络和下游目标。”

除了这些工具之外，Mandiant 研究人员还标记了绕过 Ivanti 最初权宜之计缓解技术的活动，详情请参阅原始通报；在这些攻击中，未知的网络攻击者正在部署一个名为“Bushwalk”的自定义网络间谍 Web shell，它可以读取或写入服务器上的文件。

研究人员表示，“该活动具有高度针对性、有限性，与咨询后的大规模剥削活动不同。”他们还为防御者提供了广泛的妥协指标 (IoC) 和 YARA 规则。

Ivanti 和 CISA 发布了更新的缓解指南 昨天该组织应申请。

两个新的高严重性零日漏洞

除了针对三周前的错误推出补丁之外，Ivanti 还在同一通报中添加了针对两个新 CVE 的修复。他们是：

根据 Ivanti 的建议，只有后者的漏洞在野外传播，并且该活动“似乎是有针对性的”，但它补充说，组织应该“预期一旦这些信息公开，利用就会急剧增加 - 类似于我们观察到的情况” 11 月 10 日披露后的 XNUMX 月 XNUMX 日。”

Qualys TRU 的 Dunham 表示，预计攻击将不仅仅来自 APT：“在组织修补和强化攻击之前，多个参与者正在利用漏洞利用机会 Ivanti 已被民族国家参与者武器化，现在可能还有其他参与者 — 它应该引起您的关注并如果您在生产中使用易受攻击的版本，则优先修补。”

研究人员还警告说，妥协的结果可能对组织来说是危险的。

Keeper Security 安全与架构副总裁 Patrick Tiquet 表示：“这些 [新] Ivanti 高安全性缺陷非常严重 [并且对攻击者来说尤其有价值]，应该立即修补。” “这些漏洞如果被利用，可能会授予对敏感系统的未经授权的访问并危及整个网络。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling