您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
安全大廠零日漏洞失控 16萬(wàn)VPN設(shè)備暴露
安全大廠零日漏洞失控,16萬(wàn)VPN設(shè)備暴露
網(wǎng)絡(luò)安全和IT管理軟件巨頭Ivanti的兩款產(chǎn)品(Connect Secure VPN和Ivanti Policy Secure網(wǎng)絡(luò)訪問(wèn)控制設(shè)備)曝出的兩個(gè)零日漏洞近日在全球范圍被大規(guī)模利用于部署后門、挖礦軟件和自定義惡意軟件。
16萬(wàn)VPN設(shè)備暴露
這兩個(gè)零日漏洞分別是:身份驗(yàn)證繞過(guò)漏洞(CVE-2023-46805)和CVE-2024-21887命令注入漏洞。去年12月,威脅情報(bào)公司Volexity首次發(fā)現(xiàn)兩個(gè)零日漏洞的野外利用。攻擊者組合可利用這兩個(gè)零日漏洞在受影響的ICS VPN和IPS設(shè)備上執(zhí)行任意命令,在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)、竊取數(shù)據(jù)并通過(guò)部署后門建立持久的系統(tǒng)訪問(wèn)權(quán)限。
根據(jù)威脅監(jiān)控服務(wù)Shadowserver的最新數(shù)據(jù),目前有超過(guò)16.2萬(wàn)個(gè)在線暴露的ICS VPN設(shè)備,其中超過(guò)4700個(gè)在美國(guó)(Shodan還發(fā)現(xiàn)近17000個(gè)在線暴露的Ivanti ICS設(shè)備)。
Shadowserver還監(jiān)控全球受感染Ivanti Connect Secure VPN實(shí)例的數(shù)量和利用嘗試,僅1月18日就發(fā)現(xiàn)了420多個(gè)被黑設(shè)備。
被黑的Ivanti設(shè)備全球分布 數(shù)據(jù)來(lái)源:Shadowserver
CISA發(fā)出2024年首個(gè)緊急指令
美國(guó)關(guān)鍵基礎(chǔ)設(shè)施管理局(CISA)上周末發(fā)布了2024年首個(gè)緊急指令(ED24-01)要求美國(guó)聯(lián)邦機(jī)構(gòu)必須立即實(shí)施Ivanti公開(kāi)披露的緩解措施(鏈接在文末),使用Ivanti提供的外部完整性檢查工具檢查是否發(fā)生數(shù)據(jù)泄漏,并且采取以下措施:
● 美國(guó)東部時(shí)間2024年1月22日星期一晚上11:59前通過(guò)Ivanti的下載門戶下載“mitigation.release.20240107.1.xml”并將其導(dǎo)入到受影響的產(chǎn)品中。(可能會(huì)降低產(chǎn)品性能)
● 立即向CISA報(bào)告攻擊跡象
● 從代理網(wǎng)絡(luò)中刪除受感染的產(chǎn)品。啟動(dòng)事件分析,通過(guò)創(chuàng)建取證硬盤(pán)驅(qū)動(dòng)器映像來(lái)保留受感染設(shè)備的數(shù)據(jù),并尋找進(jìn)一步受感染的跡象。
● 讓受感染的產(chǎn)品重新投入使用,使用受影響的Ivanti解決方案軟件將設(shè)備重置為出廠默認(rèn)設(shè)置,并通過(guò)應(yīng)用Ivanti的緩解措施來(lái)消除攻擊媒介。
聯(lián)邦機(jī)構(gòu)恢復(fù)被感染設(shè)備并重新投入使用時(shí)還必須遵循Ivanti的恢復(fù)說(shuō)明:
● 撤銷并重新頒發(fā)任何存儲(chǔ)的證書(shū)。
● 重置管理員啟用密碼。
● 重置存儲(chǔ)的API密鑰。
● 重置網(wǎng)關(guān)上定義的任何本地用戶的密碼,包括用于身份驗(yàn)證服務(wù)器配置的服務(wù)帳戶。
● 在受影響的產(chǎn)品可用時(shí)且不晚于Ivanti發(fā)布后48小時(shí)內(nèi),應(yīng)用本指令中提到的兩個(gè)漏洞的更新。
CISA還要求聯(lián)邦機(jī)構(gòu)在緊急指令發(fā)布一周后向其報(bào)告網(wǎng)絡(luò)中Ivant iConnect Secure和Ivanti Policy Secure產(chǎn)品所有實(shí)例的完整清單,包括所采取行動(dòng)和結(jié)果的詳細(xì)信息。
Ivanti零日漏洞利用“遍地開(kāi)花”
Mandiant安全專家上周五發(fā)現(xiàn)了五種定制惡意軟件菌株部署在被入侵的Ivanti客戶系統(tǒng)上,目標(biāo)是竊取憑據(jù)、部署Webshell和其他惡意負(fù)載。
攻擊中使用的工具列表包括:
● Zipline Passive Backdoor:自定義惡意軟件,可以攔截網(wǎng)絡(luò)流量,支持上傳/下載操作,創(chuàng)建反向shell、代理服務(wù)器、服務(wù)器隧道
● Thinspool Dropper:自定義shell腳本dropper,將Lightwire Web shell寫(xiě)入Ivanti CS,確保持久性
● Wirefire Web shell:基于Python的自定義Webshell,支持未經(jīng)身份驗(yàn)證的任意命令執(zhí)行和負(fù)載刪除
● Lightwire Web shell:嵌入合法文件中的自定義Perl Web shell,可實(shí)現(xiàn)任意命令執(zhí)行
● Warpwire Harvester:基于Java Script的自定義工具,用于在登錄時(shí)收集憑據(jù),并將其發(fā)送到命令和控制(C2)服務(wù)器
● PySoxy隧道器:促進(jìn)網(wǎng)絡(luò)流量隧道的隱蔽性
● Busy Box:多調(diào)用二進(jìn)制文件,結(jié)合了各種系統(tǒng)任務(wù)中使用的許多Unix實(shí)用程序
● Thinspool實(shí)用程序(sessionserver.pl):用于將文件系統(tǒng)重新掛載為“讀/寫(xiě)”以啟用惡意軟件部署
最值得注意的工具是Zipline,這是一種被動(dòng)后門,可以攔截傳入的網(wǎng)絡(luò)流量并提供文件傳輸、反向shell、隧道和代理功能。
威脅情報(bào)公司Volexity表示,一個(gè)疑似國(guó)家黑客組織的攻擊者已使用GIFTEDVISITOR Webshell變體為2100多臺(tái)Ivanti設(shè)備添加了后門。
Volexity和GreyNoise還發(fā)現(xiàn)攻擊者正在部署XMRig加密貨幣挖礦程序,而基于Rust的惡意軟件有效負(fù)載仍在等待分析結(jié)果。
值得注意的是,去年Ivanti的產(chǎn)品就曾多次曝出零日漏洞被利用。
去年4月開(kāi)始,Ivanti的Endpoint Manager Mobile(EPMM)產(chǎn)品中的兩個(gè)零日漏洞(CVE-2023-35078和CVE-2023-35081)被積極利用,受害者包括多個(gè)挪威政府組織。
一個(gè)月后,黑客開(kāi)始利用Ivanti Sentry軟件中的第三個(gè)零日漏洞(CVE-2023-38035)在針對(duì)性攻擊中繞過(guò)設(shè)備上的API身份驗(yàn)證。
參考鏈接:
https://www.bleepingcomputer.com/news/security/cisa-emergency-directive-mitigate-ivanti-zero-days-immediately/
Ivanti漏洞的官方緩解措施:
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
CISA緊急命令:
https://www.cisa.gov/news-events/directives/ed-24-01-mitigate-ivanti-connect-secure-and-ivanti-policy-secure-vulnerabilities
文章來(lái)源:GoUpSec