引言
最近,Ivanti VPN设备中披露的五个安全漏洞引起了广泛关注。研究人员报告称,攻击者正在目标网络中注入一种前所未见的后门,导致超过670个IT基础设施受到影响。这一大规模攻击活动显示出网络安全的严峻形势。
漏洞披露与攻击细节
Ivanti于1月31日披露了这一漏洞,具体为SAML组件中的服务器端请求伪造漏洞,追踪编号为CVE-2024-21893。除此之外,Ivanti还发布了一个新漏洞的修复方案以及对两个之前披露缺陷的修复。在2月3日,Orange Cyberdefense的研究人员发现了一台被感染的Ivanti设备,感染了一种新型后门,名为“DSLog”,该名称源于设备内的合法日志模块。
后门的特征
根据Cyberdefense的报告,该设备最初已实施XML缓解措施(API端点被阻止),但尚未应用第二次缓解(或修补程序)。进一步检查后,发现该后门的控制机制使用了基本的“API密钥”,与以往针对Ivanti漏洞的网络壳不同:
- 该网络壳在联系后不会返回状态消息,因此没有已知方法直接检测到它。
- DSLog为每个设备使用独特的哈希值,不能用于联系其他设备中实施的同一后门。
检测与应对措施
Cyberdefense在其报告中警告,Ivanti完整性检查工具并不是完全准确的妥协检测方法,但仍然是一个有用的工具。如果网络安全团队能满足以下条件,他们的系统可能是安全的:
- 设备在早期(大约1月11日之后)已进行缓解。
- 没有历史ICT或外部ICT扫描显示妥协迹象。
- 在基础设施的其余部分未发现其他可疑行为,例如IOC、日志或安全解决方案的警报。
研究人员补充道:“如果这些条件成立,那么设备可能没有受到妥协。”
结论
这并不是首次出现威胁行为者,尤其是中国支持的国家网络攻击者,在未保护的Ivanti系统上投放开创性恶意软件。Cyberdefense报告建议,任何被妥协的Ivanti设备或潜在的中国威胁行为者目标应进行出厂重置并进行全面修补。对于一些没有可用补丁的Ivanti设备版本,Cyberdefense团队建议应用XML缓解措施作为临时解决方案,并持续关注更永久的补丁。
关于作者
Dark Reading团队
Dark Reading是领先的网络安全媒体网站,提供最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮箱中,保持您对网络安全的关注。
订阅
