按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

五眼聯盟警告: Ivanti漏洞正遭受攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-03-15
  • 點閱次數:3467
fireeye-ivanti

五眼聯盟發布了新的網路安全警示,指出攻擊者正在利用 Ivanti Connect Secure 與 Ivanti Policy Secure 已知的安全漏洞發動攻擊。此外,五眼聯盟提出完整性檢查工具(ICT)可能有設計上的瑕疵,因此不能提供正確的安全狀態。

美國CISA與國際合作夥伴共同發布之聯合網際安全警示報告(Joint Cybersecurity Advisory)提到"Ivanti ICT 不足以檢測入侵行為,即使對系統進行出廠重置,攻擊者仍可能可以控制存在漏洞的系統。”

自 2024 年 1 月 10 日以來,Ivanti 產品已被揭露五個安全漏洞,其中有四個正在被多個攻擊者活躍利用以部署惡意軟體:

  • CVE-2023-46805(CVSS 評分:8.2)- Web 元件中的身份驗證繞過漏洞
  • CVE-2024-21887(CVSS 評分:9.1)- Web 元件中的命令注入漏洞
  • CVE-2024-21888(CVSS 評分:8.8)- Web 元件中的權限提升漏洞
  • CVE-2024-21893(CVSS 評分:8.2)- SAML 元件中的 SSRF 漏洞
  • CVE-2024-22024(CVSS 評分:8.3)- SAML 元件中的 XXE 漏洞

Mandiant發表的分析報告中,描述了一個名為BUSHWALK的惡意軟體加密版本,該軟體被放置在ICT排除掃描的目錄/data/runtime/cockpit/diskAnalysis中。

澳洲、加拿大、紐西蘭、英國及美國的研究機構則表示:「對於網路防禦者來說,最安全的做法是假設攻擊者可能會在系統被重置後布署rootkit持續潛伏與控制設備。」,並敦促組織在決定是否繼續在企業環境中操作這些設備時,要 "考慮到攻擊者存取與持續使用 Ivanti Connect Secure 與 Ivanti Policy Secure 的重大風險。”

網路安全公司Akamai分享的資料顯示,每天檢測到約 25 萬次的利用嘗試,針對超過1,000個客戶進行攻擊,這些攻擊來自18個不同國家,超過3,300個攻擊IP位址。

Noam Atias與Sam Tinklenberg表示:“這些攻擊嘗試大多是試圖傳遞一個payload,該payload會向攻擊者控制的網域發送一個請求,作為成功遠端執行命令的證明。”

Ivanti 針對五眼聯盟提出的警示表示,在實施安全性更新與恢復出廠設定後,尚未發現有任何攻擊者仍持續存在的情況。此外,他們亦發布ICT的新版本,聲稱這個新版本為客戶系統上存在的所有檔案提供了更多的可見性。

回頁首