图片来源:
Volexity
美国资安业者Volexity本周警告,骇客已大规模利用Ivanti尚未修补的CVE-2023-46805与CVE-2024-21887漏洞。研究人员已于全球1,700个装置中发现入侵迹象,且已有UTA0178以外的骇客组织采取了攻击行动。
相关漏洞出现在Ivanti Connect Secure(ICS)与Ivanti Policy Secure(IPS)装置上,其中的CVE-2023-46805是个可绕过身分验证的安全漏洞,CVE-2024-21887则是个命令注射漏洞,骇客结合了这两个安全漏洞便可于受骇系统上执行命令,Volexity是在去年12月时发现中国骇客组织UTA0178透过这两个漏洞攻击Volexity客户。Ivanti收到通知之后,在1月10日对外宣告并发表缓解措施,预计于1月下旬释出暂时修补程式,正式修补则要等到2月下旬。
Volexity察觉,在Ivanti发布公告之后,开始出现广泛的攻击行动。随后Volexity扫描了全球约5万个ICS装置,在本周日侦测到全球有逾1,700台装置受到感染,且发现它们似乎是不分青红皂白成为攻击目标,受害者遍布全球,且规模差异很大,涵盖全球政府及军事部门、国家电信业者、国防承包商、科技业者、金融业者、全球顾问及航太业者等。
对这些受害装置的分析则显示,可能有其它的骇客组织正在利用这两个漏洞,因为许多的操作安全性明显低于UTA0178。由于Volexity的扫描并未涵盖已部署Ivanti缓解措施或已离线的装置,因而推测受到感染的装置数量应该更多。
Volexity建议ICS用户最好部署Ivanti所提供的缓解措施,同时执行Ivanti提供的完整性检查工具。