最后更新于2024年3月4日星期一21:19:34 GMT

自本博客于1月11日最初发布以来,有关这些漏洞和后续cve的信息已经发生了很大的变化, 2024. 客户应参考伊凡蒂的各种 报告, KB文章, 康复指导  有关最新更新.

2024年1月10日,星期三,伊万蒂 披露了两个零日漏洞 affecting their Ivanti连接安全 和 Ivanti策略安全 gateways. Security firm Volexity, who discovered the vulnerabilities, also 发表博客 with information on indicators of compromise 和 attacker behavior observed in the wild. In an attack Volexity investigated in December 2023, the two vulnerabilities were chained to gain initial access, 部署网站管理权限, 后门合法文件, 捕获凭证和配置数据, 然后进一步切入受害者的环境.

这两个漏洞来自最初的 咨询 是:

  • cve - 2023 - 46805, a zero-day authentication bypass vulnerability in the web component of Ivanti连接安全 (9.x, 22.x)和Ivanti策略安全,允许远程攻击者通过绕过控制检查访问受限制的资源.
  • cve - 2024 - 21887, a critical zero-day comm和 injection vulnerability in web components of Ivanti连接安全 (9.x, 22.x)和Ivanti策略安全,它允许经过身份验证的管理员发送特制的请求并在设备上执行任意命令. This vulnerability can be exploited over the internet

Rapid7 research has reproduced the attack leveraging CVE-2023-46895 和 cve - 2024 - 21887; our team has a full technical analysis of the original exploit chain 在ackerkb中提供.

另外两个漏洞是 披露 2024年1月31日:

  • cve - 2024 - 21893, Ivanti连接安全(9)的SAML组件中的一个零日服务器端请求伪造漏洞.x, 22.x)和Ivanti策略安全 (9).x, 22.x)和Ivanti神经元的ZTA,允许攻击者访问某些受限制的资源,而无需身份验证. 根据伊万蒂的新建议, cve - 2024 - 21893 has been exploited in a limited number of customer environments.
  • cve - 2024 - 21888, a privilege escalation vulnerability in the web component of Ivanti连接安全 (9.x, 22.x)和Ivanti策略安全 (9).x, 22.x) that allows a user to elevate privileges to that of an administrator.

另一个漏洞是 披露 2024年2月8日:

  • cve - 2024 - 22024 is an XML 外部 entity or XXE vulnerability in the SAML component of Ivanti连接安全 (9.x, 22.x)、Ivanti策略安全 (9).x, 22.x)和ZTA网关,允许攻击者访问某些受限制的资源而无需身份验证. 根据伊凡蒂的建议, the mitigation provided on 31 January is effective at blocking this vulnerable endpoint.

美国.S. Cybersecurity 和 Infrastructure Security Agency (中钢协) 发布公告 on January 30 warning that threat actors are exploiting Ivanti vulnerabilities to capture credentials, 降低网站管理权限, evade the original vendor-supplied mitigation. 这两个 VolexityM和iant公司发布 我们强烈建议大家查看他们的博客,详细描述攻击和攻击迹象. Volexity和中钢协都强调,已经观察到对手试图逃避Ivanti的ICS完整性检查工具.

Rapid7敦促使用Ivanti连接安全或Policy Secure的客户立即采取措施应用供应商提供的补丁,并寻找妥协的指标. 中钢协 和 others 有 also stressed the importance of immediate action 和 continuous threat hunting. 伊万蒂设备也应该出厂重置.

Counts of internet-exposed appliances vary widely depending on the query used. When cve - 2023 - 46805 和 cve - 2024 - 21887 were 披露, the following Shodan query identified roughly 7K devices on the public internet; looking for Ivanti’s welcome page alone more than doubles that number (but reduces accuracy): http.的图标.散列:-1439222863 html:“欢迎.cgi?p =标志. Rapid7实验室已经观察到扫描活动和针对我们的蜜罐的攻击企图,这些蜜罐模仿了Ivanti Connect安全设备.

缓解指导

重要的是: 自以下信息最初发布以来,Ivanti已经发布了关于攻击者工件和受影响设备恢复步骤的额外指导. 客户应参考伊凡蒂 咨询, KB文章, 康复指导 as their sources of truth as new information continues to come to light.

  • 所有 支持版本 (9.X和22.x) of Ivanti连接安全 和 Ivanti策略安全 are vulnerable to cve - 2023 - 46805, cve - 2024 - 21887, cve - 2024 - 21893, 和cve - 2024 - 21888.  
  • Ivanti通讯, all four CVEs are remediated with a 可用的补丁 as of January 31, 2024 via the st和ard download portal for Ivanti连接安全 (versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2和22.5R1.1)和ZTA版本22.6R1.3. 截至2月1日, a patch addressing known vulnerabilities is also available for Ivanti连接安全 version 22.5R2.2、伊凡蒂政策安全.5R1.1.
  • 还有一个 可用的补丁 截至2024年2月8日,cve - 2024 - 22024.
  • Ivanti已经 这里是受影响设备的恢复步骤.
  • Updated patch timelines 和 other information can be found 在这里.

Ivanti连接安全, Ivanti策略安全, Ivanti Neurons customers should 应用 vendor-supplied patches 在紧急情况下 factory reset their devices, investigate their environments for signs of compromise. Ivanti建议使用不受支持的产品版本的客户在应用解决方案之前升级到受支持的版本.

注意: Adversaries 有 been observed wiping logs 和/or disabling logging on target devices. 管理员应确保启用了日志记录. 伊万蒂有一个 内置的完整性检查工具 (ICT),验证Ivanti连接安全和Ivanti策略安全设备上的图像,并查找修改的文件. 伊万蒂建议顾客使用 外部 version of this tool to check the integrity of the ICS/IPS images, since Ivanti已经 seen adversaries “attempting to manipulate” the internal integrity checker tool.

注意: 每Ivanti的 咨询KB文章 cve - 2023 - 46805和cve - 2024 - 21887, “Ivanti Neurons for ZTA gateways cannot be exploited when in production. If a gateway for this solution is generated 和 left unconnected to a ZTA controller, then t在这里 is a risk of exploitation on the generated gateway. Ivanti Neurons for Secure Access is not vulnerable to these CVEs; however, the gateways being managed are independently vulnerable to these CVEs.”

Rapid7客户

InsightVM和expose客户可以在1月11日的内容发布中评估他们对Ivanti Pulse Connect Secure cve - 2023 - 46805和cve - 1024 -21887的暴露情况,并进行未经身份验证的漏洞检查. 截至1月12日(内容版本1),Ivanti策略安全中的cve - 2023 - 46805和cve - 2024 - 21887可进行未经身份验证的漏洞检查.1.3069).

2月1日更新: InsightVM和expose客户可以在2月1日的内容发布(内容版本1)中使用未经身份验证的漏洞检查来评估其暴露于Ivanti连接安全中的cve - 2024 - 21888和cve - 2024 - 21893的风险.1.3083). Ivanti政策安全的进一步更新和Ivanti神经元对ZTA的覆盖范围正在调查中,可能在未来可用.

2月12日更新: InsightVM和expose客户将能够通过2月12日发布的内容版本中的漏洞检查来评估他们在Ivanti连接安全中的cve - 2024 - 22024暴露情况.

通过Rapid7扩展的检测规则库,insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表,并会对与此零日漏洞相关的利用后行为发出警报:

  • Suspicious Web Request - Possible Ivanti Exploit Activity
  • Suspicious Web Request - Possible Ivanti cve - 2023 - 46805 Exploitation

博客更新

2024年1月12日: 更新以包含对的参考 M和iant公司关于这次攻击的博客,其中包括妥协的指标.

2024年1月16日: Updated to note that Rapid7 research has reproduced the exploit chain 和 has a 完整的技术分析可以在ackerkb中找到.

2024年1月23日: Updated to reflect that Rapid7 Labs has detected attempted exploitation of Ivanti连接安全.

2024年1月24日: 更新 additional guidance 从Ivanti on recovering compromised appliances. 客户应参考伊凡蒂 咨询, KB文章, 康复指导 as their sources of truth as new information continues to come to light.

2024年1月30日: 更新了关于 补丁的延迟 从Ivanti.

2024年1月31日: 更新 新cf 披露 by Ivanti (cve - 2024 - 21893 和cve - 2024 - 21888)、新 M和iant公司公司分析、新 中国钢铁工业协会公告 信息,和新的供应商提供 补丁信息. 更新 detection information for InsightIDR 和 Rapid7 耐多药 customers. Updated to note that the InsightVM coverage development team is investigating the 新cf.

2024年2月1日: 在今天(2月1日)的内容发布(内容版本1)中,InsightVM和expose客户将能够评估他们在Ivanti连接安全中暴露的cve - 2024 - 21888和cve - 2024 - 21893,并进行未经身份验证的漏洞检查.1.3083).

2024年2月2日: 已更新,以反映截至2月1日, Ivanti表示,针对所有已知漏洞的补丁也可用于Ivanti连接安全版本22.5R2.2、伊凡蒂政策安全.5R1.1.

2024年2月8日: Ivanti还披露了一个额外的漏洞, cve - 2024 - 22024, in Ivanti连接安全 和 Ivanti策略安全. 根据 咨询, cve - 2024 - 22024 is not yet known to 有 been exploited in the wild.

2024年2月12日: Updated to emphasize the need to factory reset devices; a vulnerability check for Ivanti连接安全 cve - 2024 - 22024 will be available in today's InsightVM 和 Nexpose content release.

2024年3月1日: In 一个顾问 2月29日上映, 中钢协, 与联邦调查局合作, NCSC-UK, 以及其他可信实体, 强烈敦促各组织考虑继续使用Ivanti连接安全和Ivanti策略安全网关的相关风险.

该报告指出,Ivanti的内部完整性检查器“不足以检测到威胁,网络威胁行为者可能能够获得根级持久性,尽管发布了出厂重置。.而且,“对于网络防御者来说,最安全的做法是假设一个老练的威胁行为者可能会在一个已被重置并休眠任意时间的设备上部署rootkit级别的持久性。."

中钢协's 咨询 applies to all usage of Ivanti连接安全 和 Ivanti策略安全 gateways, regardless of any steps previously taken to mitigate or remediate threats stemming from cve - 2023 - 46805, cve - 2024 - 21887和cve - 2024 - 21893.