Ivanti VPN 漏洞被怀疑与中国间谍相关

关键要点

• 研究人员怀疑与中国有关的间谍团体利用了新发现的 Ivanti VPN 设备中的零日漏洞。
• 涉及的漏洞包括认证绕过（CVE-2023-46805）和命令注入（CVE-2024-21887）。
• Ivanti 已确认漏洞并提供了初步的缓解措施，补丁将在 1 月 22 日开始分批发布。
• CISA 已将这些漏洞添加到已知漏洞目录，并要求美国联邦机构在 1 月 31 日之前进行缓解。

研究人员怀疑与中国相关的间谍团体正在利用 Ivanti VPN 设备中的一对新发现的零日漏洞。Volexity 于 12 月 10日的博客中披露，其研究人员在观察到客户网络上的可疑横向移动后，揭示了该威胁行为者使用的攻击链。Ivanti 确认了网站上的认证绕过和命令注入漏洞。

这些漏洞包括认证绕过漏洞（）和命令注入漏洞（），影响已完全修补的 Ivanti Connect Secure（前身为 Pulse Connect Secure）和 Policy Secure 设备。

Ivanti 表示，如果同时使用 CVE-2024-21887 和 CVE-2023-46805，攻击者可以在不需要认证的情况下，构造恶意请求并在系统上执行任意命令。

CVE-2023-46805 的 CVSS 评分为 8.2，被描述为 Ivanti ICS 9.x、22.x 和 Ivanti Policy Secure的网页组件中的认证绕过漏洞，它允许远程攻击者通过绕过控制检查访问受限资源。

第二个漏洞 CVE-2024-21887 的 CVSS 评分为 9.1，是 Ivanti Connect Secure（9.x、22.x）和 IvantiPolicy Secure 中网页组件的命令注入漏洞，使已认证的管理员能够发送特殊形式的请求并在设备上执行任意命令。

漏洞在野利用

Volexity 的研究人员观察到这些漏洞的实际利用，他们在文章中表示，尽管无法确定负责的团体，但相信这是与中国国家相关的威胁行为者。

Ivanti 表示，它已经创建了一项缓解措施，将应用于网关，作为初步响应，同时正在开发漏洞的补丁。补丁将从 1 月 22 日开始分批发布。

“在补丁开发期间，我们将提供缓解措施，以优先考虑客户的最佳利益。确保自行动采取措施并确保完全保护至关重要，”该厂商表示。

“我们意识到受到漏洞影响的客户少于 10 家，无法详细讨论客户的具体情况。”

研究人员指出，利用这些漏洞的攻击者主要依靠现有系统，通过部署少量的恶意软件和工具（如 WebShell、代理工具和文件修改）来进行凭证收集。

Ivanti 建议所有客户在等待 1 月 22 日到 2 月 19 日期间公布的分批补丁时，运行其通过下载门户发布的临时解决方案。

边缘设备易受间谍攻击

Volexity 的研究人员表示，由于攻击者试图绕过组织的网络安全防御，互联网可访问系统，尤其是关键设备如 VPN 设备和防火墙，成为了热门目标。

“这些系统通常位于网络的关键部分，无法运行传统安全软件，且通常是攻击者运作的理想位置，”他们表示。

“组织必须确保建立监控这些设备活动的战略，并在发生意外情况时迅速响应。”

谷歌旗下的网络安全公司 Mandiant 的研究人员也在与 Ivanti 合作解决这些漏洞，并在 中分享了他们的发现。Mandiant 表示，认为该威胁行为者身份不明，目前正在将其跟踪为 UNC5221。

Mandiant 的研究人员表示，一旦成功利用这两个漏洞，攻击者会利用多个自定义恶意软件家族。在几种