目录

Ivanti VPN 漏洞:您需要了解的信息

目录

中国国家支持的黑客瞄准了最近公布的 Ivanti VPN 产品、Ivanti Connect Secure(前身为 Pulse Secure)和 Ivanti Policy Secure 网关中的漏洞。这些漏洞被报告为 CVE-2023-46805、CVE-2024-21887、CVE-2024-21888 和 CVE-2024-21893。

如果同时使用,这些漏洞可能会导致未经授权的身份验证绕过和远程命令执行。Ivanti 已针对其产品中最常用的版本发布了这些漏洞的修补程序,但该公司尚未发布其产品所有易受攻击版本的修补程序。这导致权限升级和服务器端请求伪造的风险增加,使那些尚未能够应用补丁的用户面临更大的风险。

 

Ivanti 安全措施和建议

Unit 42® 建议,一旦发现这些漏洞,应立即打上补丁,并在打补丁前主动重置系统,以确保环境的完整性。针对新发现的漏洞,我们赞同 CISA 提出的断开受攻击解决方案的网络连接的建议,并强调认真应用现有或即将推出的补丁程序的重要性。

在 Threat Vector 播客的最新环节中,Unit 42 网络安全专家、副总裁兼全球运营主管 Sam Rubin 和负责任情报管理的高级经理 Ingrid Parker 深入探讨了在 Ivanti 的 Connect Secure 和 Policy Security 产品中发现的关键漏洞。他们探讨了漏洞的潜在影响、减轻影响的紧迫性以及防御策略。

矢量播客
white triangle

通过您喜爱的播客播放器订阅和收听

 

Unit 42 事故应对案例

CVE-2023-46805 和 CVE-2024-21887 Ivanti 漏洞的利用活动分为三波。

第一波至少从 2023 年 12 月的第二周持续到 2024 年 1 月 10 日,Volexity 就此发表了第一篇博文。此次活动中的攻击具有针对性,并采用了多种自定义网络外壳和横向移动。Unit 42 应对了可能与这一波运动相对应的威胁活动。

与 Volexity 的博文中讨论的活动类似,我们观察到威胁参与者进行了以下活动:

  • 外泄前使用 7-Zip 将 NTDS.dit 等文件存档
  • 使用 Windows 任务管理器 (Taskmgr.exe) 创建 LSASS 进程的内存转储
  • 通过远程桌面协议(RDP)横向移动
  • 删除日志

第二波浪潮始于 Volexity 于 2024 年 1 月 10 日发表第一篇博文之后。这一浪潮的特点是从有针对性的攻击转变为更多威胁参与者的大规模利用。

Unit 42 对很可能与这一波运动相对应的威胁活动案件做出了回应。这些案件中的威胁活动是一致的。

威胁参与者转储了包含网络内各种用户和账户的模式、设置、名称和凭据的配置数据,但没有像第一波事件那样进行任何横向移动。

Unit 42 认为,这一活动背后的威胁参与者可能已将重点转移到更广泛的利用上,以便在各组织开始打补丁和应用缓解指导之前将影响最大化。

第三波浪潮早在 2024 年 1 月 16 日就已开始,当时概念验证(PoC)漏洞已公开可用。这些漏洞的发布导致一系列具有不同动机和复杂程度的行为者进行大规模利用,包括广泛部署加密货币挖矿机和各种远程监控和管理(RMM)软件的犯罪实体。

Unit 42 已对威胁活动做出响应,这些活动很可能与这一波段相对应,来自使用公开 PoC 漏洞的威胁参与者。我们目前正在支持客户调查这些事件。

全面的伊万纳提辩护策略

这些漏洞的发现凸显了警惕安全措施和快速反应能力的必要性。这凸显了广泛使用的虚拟专用网络(VPN)技术中存在的关键安全漏洞,而这些漏洞正被老练的威胁参与者所利用。这些漏洞允许未经授权的访问和控制,给组织网络带来重大风险。

以下策略对于保持强大的安全态势,应对不断变化的网络威胁,确保敏感信息和关键基础设施得到保护至关重要:

  • 清点您的资产:为所有网络设备、系统和软件编制目录。
  • 选择正确的工具:利用最适合 IT 环境复杂性和大规模的漏洞扫描工具。
  • 扫描漏洞:定期运行扫描,找出系统中的安全漏洞。
  • 分析结果:仔细查看扫描结果,根据其严重性和潜在影响确定漏洞的优先级。
  • 补救和修补:打上必要的补丁或变通方法,以减少已发现的漏洞。
  • 重复并回顾:监控并重新评估您的安全态势,以适应新的威胁。

请务必查看我们先进的 Ivanti 新兴威胁报告:

Unit 42 新威胁报告

Unit 42 新威胁报告:多个 Ivanti 漏洞

采用全面的网络安全策略

采取重要措施保护网络免受潜在的网络威胁至关重要。一些保护网络安全的方法包括隐藏应用程序和 VPN,使其不被公共互联网看到,从而避免受到攻击。您还应该彻底检查所有入站和出站流量,以消除恶意软件和零时差漏洞等威胁。

在整个网络中应用最小权限原则是另一个重要步骤。这可确保用户只能访问其角色所需的资源。您还应通过使用强大的多因素身份验证来有效验证用户身份,从而加强访问控制。

还建议将用户直接连接到应用程序,而不是更广泛的网络。这样可以最大限度地减少安全事故可能造成的损失。利用持续监控对于识别和减轻内部或外部受损参与者造成的威胁也至关重要。

为保护敏感数据,在传输和静止时都应进行严格监控和加密。采用欺骗技术和积极主动的威胁追踪,有助于在威胁造成危害之前识别并消除威胁。

在组织内部培养安全意识文化也可以抵御网络钓鱼等常见媒介。通过评估和模拟定期评估安全措施,有助于发现和解决漏洞。

Palo Alto Networks 零信任方法

为应对这些威胁,Palo Alto Networks 强调零信任架构的重要性,在不将应用程序暴露于直接网络威胁的情况下,为应用程序提供安全、分段的访问。我们的解决方案,包括高级威胁预防和分段策略,旨在 最大限度地减少攻击面,防止未经授权的访问,并 实时检测和 应对威胁

 

针对企业安全专业人员的 10 个有关 Ivanti 漏洞的常见问题和解答

Ivanti 漏洞指的是 Ivanti 在其 Connect Secure 和 Policy Secure 产品中披露的五个高度或关键漏洞(CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893 和 CVE-2024-22024)。这些漏洞既包括身份验证绕过和命令注入漏洞,也包括权限升级和服务器端请求伪造漏洞。
这些漏洞可允许未经授权访问 Ivanti 产品,导致未经授权执行命令、权限升级和访问受限资源。这些漏洞给企业网络带来了巨大风险,可能导致数据泄露或网络服务中断。
这些漏洞一旦被利用,攻击者就可以访问受限资源,将权限升级到管理员级别,甚至在设备上执行任意命令。这些被利用的漏洞可能导致数据泄露、网络服务中断以及进一步的网络渗透。
Ivanti 提供了一个外部完整性检查工具,您可以运行该工具来检查 Ivanti 产品中是否存在这些漏洞的迹象。该工具已进行更新,增加了解决这些漏洞的功能。
如果您的 Ivanti 产品受到影响,Ivanti 建议您在提供补丁后立即应用。对于尚未提供补丁程序的产品,Ivanti 建议在补丁程序发布之前执行变通方法。
如果您怀疑这些漏洞已被利用,则应按照 CISA 的建议,断开受影响 Ivanti 产品与网络的连接。您还应启动事件响应流程,调查入侵迹象,并考虑聘请专业的网络安全协助人员。Palo Alto Networks Unit 42 可以提供帮助,请致电我们。
定期扫描漏洞、及时打补丁和弹性事件响应计划是保护组织的关键。遵循最低权限访问、多因素身份验证和网络分段等安全最佳实践也至关重要。
具体的 IOC 可能各不相同,包括不寻常的网络流量、意外的系统行为以及未经授权访问或权限升级的证据。Ivanti 或您的 安全解决方案提供商 可能会提供更具体的 IOC。
截至上次更新,145 个国家/地区的 28,000 多个 Ivanti Connect Secure 和 Policy Secure 实例已被曝光。已观测到 600 多个受损病例。至少从 2023 年 12 月初开始,这些漏洞就被积极利用。
是的,Palo Alto Networks 客户可以使用 Cortex Xpanse、具有高级威胁预防功能的新一代防火墙、高级 WildFire、高级 URL 过滤和 DNS 安全以及 Cortex XDR 和 XSIAM 等各种产品和功能实施这些漏洞的缓解措施。
相关内容
信息安全治理
要在整个企业范围内始终如一地保护信息,就意味着要有合适的人员将信息安全计划与业务和技术策略结合起来。
使用数据策略扫描数据泄露或恶意软件
利用预定义的数据配置文件和数据模式检测恶意软件,防止敏感数据无意或恶意泄露防护。
5 个机构实现 360° 可见性和合规性
了解组织如何实现云环境的集中可视性,以修复漏洞并消除威胁。
数据可见性和分类
许多组织对个人身份信息等关键数据类型没有足够的可见性。在面对审计和确定数据优先级时,这就成了一个问题...

获取最新资讯、活动邀请以及威胁警报