Ivanti Connect Secure零时差漏洞CVE-2023-46805、CVE-2024-21887公布至今,已出现大规模的漏洞利用攻击行动,并引起多家资安业者高度关注,Ivanti对上述漏洞进行调查,又发现另一个也被利用的零时差漏洞。
而这样的威胁态势,美国网路安全暨基础设施安全局(CISA)罕见发出紧急命令,联邦机构必须先切断这类系统与内部网路环境的连线,再著手清查受害情形。
【攻击与威胁】
资安专家David Shipley指出,攻击来源疑似来自外国,很有可能是中国或俄罗斯所为。加拿大全球事务部并未透露骇客入侵的时间点,但根据该新闻网站取得此机构通知员工的文件指出,从12月20日以后曾进行远端存取加拿大全球事务部网路的人士,必须依据指示采取预防措施,这很有可能代表骇客入侵其网路环境达1个月。
而对于本次调查结果,研究人员推测有以下因素造成,其中之一是影子IT(Shadow IT)的问题,未被企业IT列管、却被员工在工作场合私自使用的IT系统,很有可能被骇客拿来做为社交工程攻击的媒介;另一个因素则是近年来快速发展的生成式人工智慧(GenAI),虽然ChatGPT能让企业增加生产力,但骇客也同时拿来用于社交工程攻击,企图借此让员工帐密流入暗网。
但为何影子IT是导致帐密外泄的主要原因?研究人员并未进一步说明。但我们认为,员工使用影子IT的装置或服务,企业IT并不知情,无法对其进行管理或是控制,再加上历经3年的COVID-19疫情后,这种现象变得更加难以管控,而让帐密曝险的情况恶化。
【漏洞与修补】
3周前Ivanti公布零时差漏洞CVE-2024-21887、CVE-2023-46805,该公司SSL VPN系统Connect Secure(ICS)、Policy Secure(IPS)均受到影响,他们针对此事著手进行调查,结果发现了新的漏洞CVE-2024-21888、CVE-2024-21893。
其中,CVSS风险评分较高的是权限提升漏洞CVE-2024-21888,存在于Web元件,攻击者一旦利用,就有可能取得管理员权限,风险评分为8.8;另一个是伺服器请求伪造(SSRF)漏洞CVE-2024-21893,存在于SAML元件,攻击者能在无需身分验证的情况下,用来存取受到管制的资源,CVSS风险评分为8.2。
值得留意的是,该公司指出已有部分客户受到CVE-2024-21893攻击,而且,该漏洞不光影响ICS、IPS产品线,也波及零信任闸道系统Ivanti Neurons for ZTA。