近日,Volexity的恶意软件猎手发出警告,怀疑中国国家级黑客正在积极利用Ivanti Connect Secure VPN设备中的一对未认证的远程零日漏洞。
漏洞概述
这两个漏洞分别被追踪为 CVE-2023-46805 和 CVE-2024-21887,影响的是完全修补的面向互联网的Ivanti Connect Secure VPN设备(前称Pulse Secure)。这些漏洞在实际攻击中被捕获,表明其严重性。
Ivanti的应对措施
Ivanti公司在面临重大的安全问题后,针对新的漏洞发布了预补丁缓解措施,但表示全面修复将从2024年1月22日起分阶段发布。Ivanti表示:“在补丁开发期间,我们提供缓解措施,以优先考虑客户的最佳利益。确保您立即采取行动以确保完全保护是至关重要的。”
Volexity的发现
在一份研究报告中,Volexity表示,他们在客户的网络中发现可疑的横向移动后捕获了这些零日漏洞,并发现攻击者在多个内部和外部网络服务器上放置了webshell。经过追踪,发现感染源自受害公司的Ivanti Connect Secure VPN设备,日志被清除且日志记录功能已被禁用。
“对该设备历史网络流量的进一步审查还揭示了其管理IP地址的可疑出入通信。Volexity发现,自2023年12月3日起,该设备就有可疑活动,”该公司表示。
漏洞利用细节
Volexity与Ivanti密切合作,获取受影响设备的磁盘和内存镜像,并揭示了攻击者使用的利用链。该公司发现了两种不同的零日漏洞,它们被串联在一起以实现未认证的远程代码执行(RCE)。
“通过对内存样本的法医分析,Volexity能够重建两个概念证明漏洞,允许对ICS VPN设备进行完全未认证的命令执行,”该公司表示。
攻击者的行为
“结合这两个漏洞,攻击者可以轻松地在系统上运行命令。在此次事件中,攻击者利用这些漏洞窃取配置数据、修改现有文件、下载远程文件,并从ICS VPN设备进行反向隧道。”Volexity补充道。
研究人员表示,他们发现攻击者修改了合法的ICS组件,并对系统进行了更改,以规避Ivanti的完整性检查工具;并在ICS VPN设备上对一个合法的CGI文件(compcheck.cgi)进行了后门处理,以允许命令执行。
结论
Volexity指出,怀疑与中国政府有关的黑客团队还修改了设备Web SSL VPN组件使用的JavaScript文件,以记录按键并窃取登录VPN用户的凭据。“攻击者收集的信息和凭据使他们能够在内部多个系统之间横向移动,并最终获得对网络上系统的完全访问权限,”Volexity警告道。
相关链接: - Volexity指责“DriftingCloud”APT攻击Sophos防火墙零日漏洞 - Ivanti Sentry零日漏洞的利用已被确认 - Ivanti修补了终端管理器中的关键漏洞 - Ivanti修补了Avalanche MDM产品中的十几个关键漏洞
建议: 使用高效的VPN产品来保护您的网络安全,避免潜在的安全风险。
