五眼聯盟發布了新的網路安全警示，指出攻擊者正在利用 Ivanti Connect Secure 與 Ivanti Policy Secure 已知的安全漏洞發動攻擊。此外，五眼聯盟提出完整性檢查工具(ICT)可能有設計上的瑕疵，因此不能提供正確的安全狀態。

美國CISA與國際合作夥伴共同發布之聯合網際安全警示報告（Joint Cybersecurity Advisory）提到"Ivanti ICT 不足以檢測入侵行為，即使對系統進行出廠重置，攻擊者仍可能可以控制存在漏洞的系統。”

自 2024 年 1 月 10 日以來，Ivanti 產品已被揭露五個安全漏洞，其中有四個正在被多個攻擊者活躍利用以部署惡意軟體：

• CVE-2023-46805（CVSS 評分：8.2）- Web 元件中的身份驗證繞過漏洞
• CVE-2024-21887（CVSS 評分：9.1）- Web 元件中的命令注入漏洞
• CVE-2024-21888（CVSS 評分：8.8）- Web 元件中的權限提升漏洞
• CVE-2024-21893（CVSS 評分：8.2）- SAML 元件中的 SSRF 漏洞
• CVE-2024-22024（CVSS 評分：8.3）- SAML 元件中的 XXE 漏洞

Mandiant發表的分析報告中，描述了一個名為BUSHWALK的惡意軟體加密版本，該軟體被放置在ICT排除掃描的目錄/data/runtime/cockpit/diskAnalysis中。

澳洲、加拿大、紐西蘭、英國及美國的研究機構則表示：「對於網路防禦者來說，最安全的做法是假設攻擊者可能會在系統被重置後布署rootkit持續潛伏與控制設備。」，並敦促組織在決定是否繼續在企業環境中操作這些設備時，要 "考慮到攻擊者存取與持續使用 Ivanti Connect Secure 與 Ivanti Policy Secure 的重大風險。”

網路安全公司Akamai分享的資料顯示，每天檢測到約 25 萬次的利用嘗試，針對超過1,000個客戶進行攻擊，這些攻擊來自18個不同國家，超過3,300個攻擊IP位址。

Noam Atias與Sam Tinklenberg表示：“這些攻擊嘗試大多是試圖傳遞一個payload，該payload會向攻擊者控制的網域發送一個請求，作為成功遠端執行命令的證明。”

Ivanti 針對五眼聯盟提出的警示表示，在實施安全性更新與恢復出廠設定後，尚未發現有任何攻擊者仍持續存在的情況。此外，他們亦發布ICT的新版本，聲稱這個新版本為客戶系統上存在的所有檔案提供了更多的可見性。