图片来源:
Ivanti
美国IT安全及系统管理软体开发商Ivanti周三(1/10)警告,旗下的VPN产品Ivanti Connect Secure及网路存取控制解决方案Ivanti Policy Secure含有两个零时差漏洞CVE-2023-46805和CVE-2024-21887,并已遭到骇客利用,目前已发表缓解措施,预计于1月22日提供暂时修补程式,再于2月19日进行正式修补。
发现这两个安全漏洞的是美国资安业者Volexity,该公司是在去年12月的第二周侦测到客户网路有可疑的横向移动,进一步调查后才确定有骇客利用了Ivanti Connect Secure装置的两个零时差漏洞,且骇客应该早在12月3日便已入侵客户网路。Volexity的发现仅限于Ivanti Connect Secure,而Ivanti的发布显示相关漏洞同样存在于Ivanti Policy Secure上。
其中,CVE-2023-46805是个可绕过身分验证的安全漏洞,CVE-2024-21887 则是个命令注射漏洞,当骇客结合了这两个安全漏洞时,便很容易于受骇系统上执行命令。
Volexity的调查显示,骇客利用这两个漏洞窃取了配置资料,窜改现有的档案,下载远端档案,以及自Ivanti Connect Secure装置反转通道,最终使得骇客得以不受限地存取受骇网路上的系统。
虽然Volexity并未揭露受害者名称,但相信此一攻击事件是由中国国家级骇客所执行,并暂将该骇客组织其命名为UTA0178。
至于Ivanti则说这两个漏洞同时影响Ivanti Connect Secure与Ivanti Policy Secure,已释出暂时缓解措施,之后再行修补。