Ivanti 最新高危漏洞及其影响

关键要点

• Ivanti 发布两项涉及 Ivanti Connect Secure 和 Policy Secure 产品的新高危漏洞。
• 第一项漏洞（CVE-2024-21893）已在现实环境中被利用。
• Ivanti 预期漏洞公开后，利用活动会明显增加。
• 专家指出，这些漏洞可能使攻击者获得敏感系统的未授权访问。

Ivanti 最近报告了两项影响其 Ivanti Connect Secure 和 Policy Secure产品的新高危漏洞，其中一项已被黑客实际利用。该漏洞（）主要受到针对性攻击，Ivanti在 1 月 31 日的客户通知中表示，已发布相关修补程序。Ivanti还预计，随着漏洞信息的公开，利用该漏洞的情况将会急剧增加，同时也表示对于另一项在周三披露的漏洞（），尚未发现对客户的影响。

为了加重这些漏洞的严重性，自最初撰写关于之前 Ivanti 漏洞的文章以来，Mandiant 研究团队发现了由原始攻击者 UNC5221及其他未分类的威胁组织实施的广泛利用活动。Mandiant 在 1 月 31 日的博客文章中指出，UNC5221被怀疑与中国间谍活动有关，且在现实环境中观察到某种规避缓解的技术。这导致攻击者部署了一种被跟踪为“BUSHWALK”的自定义
Webshell，攻击者可通过它读取或写入服务器上的文件。

Mandiant 咨询部首席技术官查尔斯·卡马克尔表示：“在进一步分析 UNC5221 的技术、战术和程序后，Mandiant 现在怀疑 UNC5221属于一个与中国相关的威胁组织。”他补充道，虽然 Volexity 起初对此有所怀疑，但 Mandiant 直到现在才获得足够的数据以独立确定 UNC5221的来源并证实这一说法。

新出现的漏洞对安全专家的意义

Keeper Security 的安全与架构副总裁帕特里克·提奎特指出，这两个新的 Ivanti漏洞具有重大影响，尤其是其中一个已被广泛利用，因此迫切需要优先处理。提奎特表示，如果漏洞被利用，可能会使攻击者获得对敏感系统的未授权访问，甚至危及整个网络。他还提到，美国网络安全和基础设施安全局（CISA）已经认定这些缺陷构成不可接受的风险，并发布了
2024年的第一项紧急指令，要求联邦政府的文职执行部门立即应用补丁。

“组织需要采取一切预防措施，并严格遵循 Ivanti的指导，以防止系统可能受到损害，”提奎特说。“未打补丁的实例将成为坏人用来获取认证信息和潜在接触敏感信息的目标。”

国家级行为者 UNC5221 成功利用 Ivanti 的漏洞，窃取配置数据、修改现有文件、下载远程文件，并在网络中建立反向隧道，Qualys威胁研究单位的网络威胁主管肯·邓汉姆表示。邓汉姆提到，攻击者还部署了包括 THINSPOOL、ZIPLINE 和 WARPWIRE在内的恶意软件，作为已记录攻击的一部分。

“对于遭受供应链和国家攻击的 Ivanti 用户来说，必须优先处理此补丁，因为 UNC5221正在持续进行有针对性并成功的攻击活动，”邓汉姆表示。“Ivanti 可能因其提供的功能和架构而被攻击者瞄准，因为如果被攻破，将作为网络和 VPN解决方案进入网络及下游目标。”

有关这些 Ivanti 漏洞的详细信息，请查看查尔斯·卡马克尔的。