美国网络安全机构 CISA 已下令联邦机构紧急切断 Ivanti VPN 设备的连接,因为该设备存在多个软件缺陷,存在被恶意利用的风险。在对上周首次发布的紧急指令的更新中,CISA 现在要求所有联邦文职行政部门机构(名单中包括国土安全部和证券交易委员会)断开所有 Ivanti VPN 设备的连接,因为恶意黑客目前正在利用众多零日漏洞造成"严重威胁"。
尽管联邦机构通常有数周的时间来修补漏洞,但 CISA 已下令在 48 小时内切断 Ivanti VPN 设备的连接。
"运行受影响产品(Ivanti Connect Secure 或 Ivanti Policy Secure 解决方案)的机构必须立即执行以下任务:在 2024 年 2 月 2 日星期五 11:59PM 之前,尽快从机构网络中断开所有 Ivanti Connect Secure 和 Ivanti Policy Secure 解决方案产品实例的连接,"周三更新的紧急指令中写道。
就在 CISA 发出警告的几个小时前,Ivanti 声称发现了第三个正在被积极利用的零日漏洞。
安全研究人员称,自12月以来,中国国家支持的黑客已经利用了至少两个Ivanti Connect Secure漏洞--被追踪为CVE-2023-46805和CVE-2024-21887。Ivanti 周三表示,它又发现了两个漏洞--CVE-2024-21888 和 CVE-2024-21893,后者已被用于"有针对性的"攻击。CISA 此前表示,"观察到一些针对联邦机构的初步攻击"。
网络安全公司 Volexity 的创始人 Steven Adair 周四介绍说,到目前为止,至少有 2200 台 Ivanti 设备被入侵。这比该公司本月早些时候追踪到的 1700 台增加了 500 台,不过 Volexity 指出"总数可能要高得多"。
在紧急指令的更新中,CISA 告知各机构,在断开易受攻击的 Ivanti 产品的连接后,各机构必须继续对连接到受影响设备的任何系统进行威胁狩猎,监控可能暴露的身份验证或身份管理服务,并继续审计权限级别访问账户。
CISA 还提供了恢复 Ivanti 设备在线运行的说明,但没有给联邦机构规定恢复 Ivanti 设备在线运行的最后期限。
"CISA已经有效地指导联邦机构采用一种方法来部署被认为是全新安装并打了补丁的[Ivanti Connect Secure] VPN设备,作为使其重新上线的要求,"Adari说,"如果任何机构希望完全确保其设备在已知良好和可信的状态下运行,这可能是最好的行动方案。"
在 CISA 发出警告称恶意攻击者绕过了针对前两个漏洞发布的缓解措施之后,Ivanti 本周为受这三个被积极利用的漏洞影响的部分软件版本提供了补丁。Ivanti 还敦促客户在打补丁之前对设备进行出厂重置,以防止黑客在其网络上获得持久访问权限。