Ivanti VPN 漏洞被怀疑与中国间谍相关

关键要点

研究人员怀疑与中国有关的间谍团体利用了新发现的 Ivanti VPN 设备中的零日漏洞。涉及的漏洞包括认证绕过CVE202346805和命令注入CVE202421887。Ivanti 已确认漏洞并提供了初步的缓解措施，补丁将在 1 月 22 日开始分批发布。CISA 已将这些漏洞添加到已知漏洞目录，并要求美国联邦机构在 1 月 31 日之前进行缓解。

研究人员怀疑与中国相关的间谍团体正在利用 Ivanti VPN 设备中的一对新发现的零日漏洞。Volexity 于 12 月 10 日的博客中披露，其研究人员在观察到客户网络上的可疑横向移动后，揭示了该威胁行为者使用的攻击链。Ivanti 确认了网站上的认证绕过和命令注入漏洞。

这些漏洞包括认证绕过漏洞CVE202346805和命令注入漏洞CVE202421887，影响已完全修补的 Ivanti Connect Secure前身为 Pulse Connect Secure和 Policy Secure 设备。

Ivanti 表示，如果同时使用 CVE202421887 和 CVE202346805，攻击者可以在不需要认证的情况下，构造恶意请求并在系统上执行任意命令。

CVE202346805 的 CVSS 评分为 82，被描述为 Ivanti ICS 9x、22x 和 Ivanti Policy Secure 的网页组件中的认证绕过漏洞，它允许远程攻击者通过绕过控制检查访问受限资源。

第二个漏洞 CVE202421887 的 CVSS 评分为 91，是 Ivanti Connect Secure9x、22x和 Ivanti Policy Secure 中网页组件的命令注入漏洞，使已认证的管理员能够发送特殊形式的请求并在设备上执行任意命令。

漏洞在野利用

Volexity 的研究人员观察到这些漏洞的实际利用，他们在文章中表示，尽管无法确定负责的团体，但相信这是与中国国家相关的威胁行为者。

Ivanti 表示，它已经创建了一项缓解措施，将应用于网关，作为初步响应，同时正在开发漏洞的补丁。补丁将从 1 月 22 日开始分批发布。

“在补丁开发期间，我们将提供缓解措施，以优先考虑客户的最佳利益。确保自行动采取措施并确保完全保护至关重要，”该厂商表示。

蚂蚁加速npv破解版

“我们意识到受到漏洞影响的客户少于 10 家，无法详细讨论客户的具体情况。”

研究人员指出，利用这些漏洞的攻击者主要依靠现有系统，通过部署少量的恶意软件和工具如 WebShell、代理工具和文件修改来进行凭证收集。

Ivanti 建议所有客户在等待 1 月 22 日到 2 月 19 日期间公布的分批补丁时，运行其通过下载门户发布的临时解决方案。

边缘设备易受间谍攻击

Volexity 的研究人员表示，由于攻击者试图绕过组织的网络安全防御，互联网可访问系统，尤其是关键设备如 VPN 设备和防火墙，成为了热门目标。

“这些系统通常位于网络的关键部分，无法运行传统安全软件，且通常是攻击者运作的理想位置，”他们表示。

“组织必须确保建立监控这些设备活动的战略，并在发生意外情况时迅速响应。”

谷歌旗下的网络安全公司 Mandiant 的研究人员也在与 Ivanti 合作解决这些漏洞，并在 其 1 月 11 日的博客 中分享了他们的发现。Mandiant 表示，认为该威胁行为者身份不明，目前正在将其跟踪为 UNC5221。

Mandiant 的研究人员表示，一旦成功利用这两个漏洞，攻击者会利用多个自定义恶意软件家族。在几种