Ivanti 零日漏洞的广泛利用

关键要点

• Ivanti Connect Secure (ICS) 和 Policy Secure 产品中的两个零日漏洞正在被多个行业广泛利用，影响范围扩大。
• 超过 1,700 台 ICS VPN 设备已遭到攻击，受影响的行业涵盖政府、军事、通信、金融及航空等多个领域。
• 除了已知的中国威胁组织 UTA0178，其他攻击者也在积极利用这些漏洞。
• Ivanti 建议所有客户尽快应用安全补丁，同时鉴于漏洞的复杂性，组织应做好频繁更新的准备。

最近报告的 Ivanti Connect Secure (ICS) 和 Policy Secure 设备的两个零日漏洞被多个行业广泛利用。根据
Volexity 的一份报告，目前全球有超过 1,700 台 ICS VPN 设备被攻击。

受影响的行业包括全球政府和军事机构、国家电信公司、防务承包商、科技公司、银行、财务、会计和咨询公司，以及航空行业。

Volexity 的研究人员还表示，除了最初报告的疑似中国威胁组织 UTA0178，其他威胁 actores 也在积极尝试利用这些设备。

“这种利用已影响到了成千上万台设备，可能还感染了更多，” Volexity 的研究人员写道。“Volexity 的扫描方法不适用于已经部署 Ivanti
补救措施或被离线的组织。因此，Volexity 怀疑可能存在比其扫描识别出的受影响组织更多的受害者。”

正如 SC Media 在 1 月 12日的报道中指出，这两个漏洞分别是身份验证绕过（）和命令注入（），影响到已完全修补的
ICS（原称 Pulse Connect Secure）和 Policy Secure 设备。

Ivanti 建议所有客户通过其下载门户运行以待定于 1 月 22 日至 2 月 19日发布的补丁。

这则 Ivanti 的新闻突显出一个威胁组织的努力如何迅速被他人复制并扩大，导致在过去几天内攻击数量的指数增长，Viakoo Labs 的副总裁 JohnGallagher 说道。

Gallagher 指出，因为这些攻击针对 ICS VPN 部署，威胁组织可能不仅限于数据窃取。他建议组织使用无代理资产和应用发现解决方案，以监控 ICS设备行为的变化或运行的应用程序。

“不仅需要修补，还需准备频繁修补，因为更多与这些零日漏洞相关的方面可能会被披露，” Gallagher 解释说。“随着水平移动的发生，可能需要对比
Ivanti VPN 更多的系统进行修补。在这种情况下，使用自动化的无代理固件修补解决方案是必需的，因为传统的基于代理的修补解决方案不适用于 ICS
系统。”

Critical Start 的网络威胁研究高级经理 Callie Guenther 补充指出，面对最近 Ivanti产品中两个零日漏洞的广泛利用，安全专业人士必须采取一系列具体和根据情况的行动。Guenther 提到，由于这些漏洞已被像 UTA0178这样的先进威胁组织积极利用，使用 Ivanti 提供的补丁来填补安全缺口至关重要。

“此外，监控网络流量变得至关重要，特别是因为威胁组织已展示出在全球范围内利用这些漏洞的复杂性，影响了众多行业，” Guenther
说。“安全团队应寻找可能指示攻击尝试的异常现象。”

Guenther 还指出，定期进行漏洞评估和渗透测试在这种情况下变得更为重要，因为它们可以发现网络中可能与 CVE-2023-46805 和
CVE-2024-21887 类似的潜在可利用弱点。

“考虑到疑似威胁组织采用的多样化战术，建立综合的安全协议，包括更新防火墙