最近报告的 Ivanti Connect Secure (ICS) 和 Policy Secure 设备的两个零日漏洞被多个行业广泛利用。根据 Volexity 的一份报告,目前全球有超过 1700 台 ICS VPN 设备被攻击。
受影响的行业包括全球政府和军事机构、国家电信公司、防务承包商、科技公司、银行、财务、会计和咨询公司,以及航空行业。
Volexity 的研究人员还表示,除了最初报告的疑似中国威胁组织 UTA0178,其他威胁 actores 也在积极尝试利用这些设备。
“这种利用已影响到了成千上万台设备,可能还感染了更多,” Volexity 的研究人员写道。“Volexity 的扫描方法不适用于已经部署 Ivanti 补救措施或被离线的组织。因此,Volexity 怀疑可能存在比其扫描识别出的受影响组织更多的受害者。”
正如 SC Media 在 1 月 12 日的报道中指出,这两个漏洞分别是身份验证绕过CVE202346805和命令注入CVE202421887,影响到已完全修补的 ICS原称 Pulse Connect Secure和 Policy Secure 设备。
Ivanti 建议所有客户通过其下载门户运行其发布的解决方案以待定于 1 月 22 日至 2 月 19 日发布的补丁。
这则 Ivanti 的新闻突显出一个威胁组织的努力如何迅速被他人复制并扩大,导致在过去几天内攻击数量的指数增长,Viakoo Labs 的副总裁 John Gallagher 说道。
Gallagher 指出,因为这些攻击针对 ICS VPN 部署,威胁组织可能不仅限于数据窃取。他建议组织使用无代理资产和应用发现解决方案,以监控 ICS 设备行为的变化或运行的应用程序。
“不仅需要修补,还需准备频繁修补,因为更多与这些零日漏洞相关的方面可能会被披露,” Gallagher 解释说。“随着水平移动的发生,可能需要对比 Ivanti VPN 更多的系统进行修补。在这种情况下,使用自动化的无代理固件修补解决方案是必需的,因为传统的基于代理的修补解决方案不适用于 ICS 系统。”
Critical Start 的网络威胁研究高级经理 Callie Guenther 补充指出,面对最近 Ivanti 产品中两个零日漏洞的广泛利用,安全专业人士必须采取一系列具体和根据情况的行动。Guenther 提到,由于这些漏洞已被像 UTA0178 这样的先进威胁组织积极利用,使用 Ivanti 提供的补丁来填补安全缺口至关重要。
免费加速器梯子推荐“此外,监控网络流量变得至关重要,特别是因为威胁组织已展示出在全球范围内利用这些漏洞的复杂性,影响了众多行业,” Guenther 说。“安全团队应寻找可能指示攻击尝试的异常现象。”
Guenther 还指出,定期进行漏洞评估和渗透测试在这种情况下变得更为重要,因为它们可以发现网络中可能与 CVE202346805 和 CVE202421887 类似的潜在可利用弱点。
“考虑到疑似威胁组织采用的多样化战术,建立综合的安全协议,包括更新防火墙
