恶意黑客已开始大规模利用广泛使用企业级 VPN 设备Ivanti中的两个关键零日漏洞。
网络安全公司Volexity上周首次报告称,中国黑客正在利用 Ivanti Connect Secure 中两个未修补的漏洞(编号为 CVE-2023-46805 和 CVE-2024-21887),入侵客户网络并窃取数据信息。当时,Ivanti表示,它知道“不到10个客户”受到“零日”漏洞的影响,之所以这么说是因为 Ivanti 在漏洞被利用之前没有时间修复这些漏洞。
Volexity 在周一发表的一篇最新博文中说,它现在掌握了大规模利用的证据。
据 Volexity 称,迄今为止,全球已有 1700 多个 Ivanti Connect Secure 设备被利用,影响了航空航天、银行、国防、政府和电信行业的组织。
Volexity 表示:“受害者分布在全球各地,规模差异很大,既有小型企业,也有全球最大的一些组织,包括多个行业垂直领域的多家财富500强企业。” 该安全公司的研究人员补充说,Ivanti VPN 设备“不加区分地成为目标”,受害者遍布世界各地。
但 Volexity 指出,受到攻击的组织数量可能要高得多。非营利性安全威胁跟踪机构 Shadowserver Foundation 的数据显示,全球有超过 17000 台互联网可见的 Ivanti VPN 设备,其中包括美国的 5000 多台设备。
Ivanti在周二更新的公告中证实,其自己的发现与 Volexity 的新观察结果“一致”,并且大规模黑客攻击似乎始于 1 月 11 日,即 Ivanti 披露漏洞的第二天。在公共关系机构 MikeWorldWide 提供的一份声明中,Ivanti表示,它“发现威胁行为者的活动和安全研究人员的扫描急剧增加”。
周二,Volexity 的发言人 Kristel Faris 告诉 TechCrunch,该安全公司正在与 Ivanti 联系,Ivanti 正在“尽快响应增加的支持请求”。
尽管遭到大规模利用,Ivanti 尚未发布补丁。Ivanti 表示,计划从 1 月 22 日开始“交错”发布修补程序。同时,建议管理员对其网络上所有受影响的 VPN 设备应用Ivanti 提供的缓解措施。Ivanti 建议管理员重置密码和 API 密钥,并撤销并重新颁发受影响设备上存储的所有证书。
尚未发现勒索软件
Volexity 最初将这两个 Ivanti 零日漏洞的利用归咎于一个中国黑客组织,该组织追踪为 UTA0178。Volexity 表示,其早在 12 月 3 日就掌握了被利用的证据。
Mandiant 也在追踪 Ivanti 漏洞的利用情况,并表示尚未将此次漏洞利用与先前已知的黑客组织联系起来,但表示其调查结果与 Volexity 的结果相结合,导致 Mandiant 将这些黑客事件归因于“一场以间谍为动机的 APT 活动”。
Volexity本周表示,它发现了更多的黑客组织,特别是一个名为 UTA0188 的黑客组织,利用这些漏洞来入侵易受攻击的设备,但在TechCrunch询问时,Volexity拒绝透露有关该组织或其动机的更多细节。
Volexity 告诉 TechCrunch,目前尚未发现任何证据表明勒索软件参与了大规模黑客攻击。“但是,我们完全预计如果POC公开,这种情况就会发生,”Faris 补充道。