概述
近日,多个国家的安全机构警告称,攻击者能够欺骗Ivanti提供的内部和外部完整性检查工具,从而在最近利用其Connect Secure和Policy Secure网关的零日漏洞进行攻击。这些机构还在实验室环境中识别出一种技术,即使在工厂重置后也能在Ivanti设备上保持恶意软件的持久性。
攻击者的能力
美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)、澳大利亚信号局、英国国家网络安全中心、加拿大通信安全局(CSE)和新西兰国家网络安全中心联合发布了这一警告。报告指出,组织在决定是否继续在企业环境中使用这些设备时,必须考虑到对Ivanti Connect Secure和Ivanti Policy Secure网关的对手访问和持久性所带来的重大风险。
Ivanti的应对措施
Ivanti对此回应,发布了增强版的外部完整性检查工具(ICT),并表示CISA在实验室中设计的持久性技术在实际客户环境中可能不会生效,因为攻击者会失去与设备的连接。
完整性检查工具的局限性
CISA在多次事件响应中发现,Ivanti提供的内部和以前的外部完整性检查工具在某些情况下未能检测到现有的妥协。这些工具检查文件系统的重要区域是否被修改,以及可能表明攻击的已知迹象。然而,由于这些工具定期执行而非持续监控(内部工具每两小时检查一次),恶意软件作者可以在扫描之间激活他们的恶意软件,从而逃避检测。
Mandiant报告称,一个基于中国的APT组织UNC5325在Ivanti于1月31日公开披露CVE-2024-21893漏洞后几个小时内开始利用该漏洞,并对Ivanti SSL VPN网关的内部工作原理表现出高度的了解和熟悉,这表明该组织可能已经对这些设备进行了逆向工程。
UNC5325的攻击手法
Mandiant指出,UNC5325利用了一种名为LITTLELAMB.WOOLTEA的新型恶意软件,并结合“利用现有资源”(LotL)技术来更好地逃避检测。该组织部署的一个植入物是一个基于Web的远程访问后门,名为BUSHWALK,使用Perl编写,并嵌入在Ivanti Connect Secure的合法组件querymanifest.cgi中。
在最近的攻击中,该组织使用了这种Shell的新变体,并采用了一种技术,根据发送给Shell的请求中指定的用户代理字符串启用和禁用该Shell。这使他们能够将Web Shell的加密副本保存在Ivanti的ICT未检查的文件系统区域中,并在需要时使用Ivanti内置工具解密并添加到querymanifest.cgi中。
Ivanti的建议
Ivanti在博客中表示:“Ivanti、Mandiant和CISA建议使用更新的外部ICT来帮助检测已知的攻击向量并检测附加或更改的文件。”这表明,虽然ICT是一种有用的安全工具,但仍需与其他安全和监控工具结合使用,以实现更全面的防护。
持续监控的重要性
由于ICT仅提供文件系统的时间快照,无法检测攻击者在过去进行的更改,因此在设备上需要额外的持续监控工具。CISA建议网络防御者假设受影响的Ivanti VPN设备中的用户和服务帐户凭据可能已被妥协,并使用该建议中的检测方法和妥协指标(IOC)进行恶意活动的搜索。
总结
网络安全领域的威胁日益复杂,组织必须采取适当的措施来应对潜在的攻击,确保其设备的安全性和完整性。对于Ivanti VPN设备,建议用户定期更新工具,持续监控网络活动,并及时响应潜在的安全事件。
