Ivanti Connect安全和策略安全网关的零日攻击

最后更新于2024年3月4日星期一21:19:34 GMT

自本博客于1月11日最初发布以来，有关这些漏洞和后续cve的信息已经发生了很大的变化, 2024. 客户应参考伊凡蒂的各种 报告, KB文章, 康复指导  有关最新更新.

2024年1月10日，星期三，伊万蒂 披露了两个零日漏洞 影响其Ivanti Connect安全网关和Ivanti Policy安全网关. 安全公司Volexity也发现了这些漏洞 发表博客 提供了在野外观察到的妥协和攻击者行为指标的信息. 在2023年12月Volexity调查的一次攻击中, 这两个漏洞被链接起来以获得初始访问权限, 部署网站管理权限, 后门合法文件, 捕获凭证和配置数据, 然后进一步切入受害者的环境.

这两个漏洞来自最初的 咨询 是:

• cve - 2023 - 46805在Ivanti连接安全(9)的web组件中存在一个零日认证绕过漏洞.x, 22.x)和Ivanti策略安全，允许远程攻击者通过绕过控制检查访问受限制的资源.
• cve - 2024 - 21887Ivanti连接安全 web组件中的一个关键的零日命令注入漏洞.x, 22.x)和Ivanti策略安全，它允许经过身份验证的管理员发送特制的请求并在设备上执行任意命令. 这个漏洞可以在互联网上被利用

Rapid7 research has reproduced the attack leveraging CVE-2023-46895 和 cve - 2024 - 21887; our team has a full technical analysis of the original exploit chain 在ackerkb中提供.

另外两个漏洞是 披露 2024年1月31日:

• cve - 2024 - 21893, Ivanti连接安全(9)的SAML组件中的一个零日服务器端请求伪造漏洞.x, 22.x)和Ivanti策略安全 (9).x, 22.x)和Ivanti神经元的ZTA，允许攻击者访问某些受限制的资源，而无需身份验证. 根据伊万蒂的新建议, cve - 2024 - 21893已在有限数量的客户环境中被利用.
• cve - 2024 - 21888，在Ivanti连接安全(9)的web组件中的特权升级漏洞.x, 22.x)和Ivanti策略安全 (9).x, 22.X)，允许用户将权限提升到管理员的权限.

另一个漏洞是 披露 2024年2月8日:

• cve - 2024 - 22024 is Ivanti连接安全(9)的SAML组件中的XML外部实体或XXE漏洞.x, 22.x)、Ivanti策略安全 (9).x, 22.x)和ZTA网关，允许攻击者访问某些受限制的资源而无需身份验证. 根据伊凡蒂的建议, 1月31日提供的缓解措施有效地阻止了这一易受攻击的端点.

美国.S. 网络安全和基础设施安全局(中钢协) 发布公告 1月30日警告称，威胁行为者正在利用Ivanti漏洞获取凭证, 降低网站管理权限, 并规避原始供应商提供的缓解措施. 这两个 Volexity 和 M和iant公司 有 发布 我们强烈建议大家查看他们的博客，详细描述攻击和攻击迹象. Volexity和中钢协都强调，已经观察到对手试图逃避Ivanti的ICS完整性检查工具.

Rapid7敦促使用Ivanti连接安全或Policy Secure的客户立即采取措施应用供应商提供的补丁，并寻找妥协的指标. 中钢协和其他机构也强调了立即采取行动和持续搜寻威胁的重要性. 伊万蒂设备也应该出厂重置.

根据使用的查询，暴露在互联网上的设备数量差异很大. 当cve - 2023 - 46805和cve - 2024 - 21887被披露时, the following Shodan query identified roughly 7K devices on the public internet; looking for Ivanti’s welcome page alone more than doubles that number (but reduces accuracy): http.的图标.散列:-1439222863 html:“欢迎.cgi?p =标志. Rapid7实验室已经观察到扫描活动和针对我们的蜜罐的攻击企图，这些蜜罐模仿了Ivanti Connect安全设备.

缓解指导

重要的是: 自以下信息最初发布以来，Ivanti已经发布了关于攻击者工件和受影响设备恢复步骤的额外指导. 客户应参考伊凡蒂 咨询, KB文章, 康复指导 随着新信息的不断曝光，他们的真相来源.

• 所有 支持版本 (9.X和22.Ivanti连接安全和Ivanti策略安全的x)版本存在cve - 2023 - 46805漏洞, cve - 2024 - 21887, cve - 2024 - 21893, 和cve - 2024 - 21888.  
• 每 Ivanti通讯, 截至1月31日，所有四个cve都通过可用的补丁进行了修复, 2024通过伊万蒂连接安全(版本9)的标准下载门户.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2和22.5R1.1)和ZTA版本22.6R1.3. 截至2月1日, Ivanti连接安全 version 22还提供了一个解决已知漏洞的补丁.5R2.2、伊凡蒂政策安全.5R1.1.
• 还有一个 可用的补丁 截至2024年2月8日，cve - 2024 - 22024.
• Ivanti已经 这里是受影响设备的恢复步骤.
• 可以找到更新的补丁时间表和其他信息 在这里.

Ivanti连接安全, Ivanti策略安全, 和Ivanti Neurons的客户应该使用供应商提供的补丁 在紧急情况下 重置他们的设备，并调查他们的环境是否有被入侵的迹象. Ivanti建议使用不受支持的产品版本的客户在应用解决方案之前升级到受支持的版本.

注意: 攻击者已经观察到清除日志和/或禁用目标设备上的日志记录. 管理员应确保启用了日志记录. 伊万蒂有一个 内置的完整性检查工具 (ICT)，验证Ivanti连接安全和Ivanti策略安全设备上的图像，并查找修改的文件. 伊万蒂建议顾客使用 外部 版本的此工具来检查ICS/IPS映像的完整性, 因为伊万蒂已经看到对手“试图操纵”内部完整性检查工具.

注意: 每Ivanti的 咨询 和 KB文章 cve - 2023 - 46805和cve - 2024 - 21887, “ZTA网关的Ivanti神经元不能在生产中被利用. 如果生成了此解决方案的网关，并且未连接到ZTA控制器, 然后，在生成的网关上存在被利用的风险. Ivanti Neurons for Secure Access is not vulnerable to these CVEs; however, 被管理的网关独立存在这些cve漏洞.”

Rapid7客户

InsightVM和expose客户可以在1月11日的内容发布中评估他们对Ivanti Pulse Connect Secure cve - 2023 - 46805和cve - 1024 -21887的暴露情况，并进行未经身份验证的漏洞检查. 截至1月12日(内容版本1)，Ivanti策略安全中的cve - 2023 - 46805和cve - 2024 - 21887可进行未经身份验证的漏洞检查.1.3069).

2月1日更新: InsightVM和expose客户可以在2月1日的内容发布(内容版本1)中使用未经身份验证的漏洞检查来评估其暴露于Ivanti连接安全中的cve - 2024 - 21888和cve - 2024 - 21893的风险.1.3083). Ivanti政策安全的进一步更新和Ivanti神经元对ZTA的覆盖范围正在调查中，可能在未来可用.

2月12日更新: InsightVM和expose客户将能够通过2月12日发布的内容版本中的漏洞检查来评估他们在Ivanti连接安全中的cve - 2024 - 22024暴露情况.

通过Rapid7扩展的检测规则库，insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent，以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表，并会对与此零日漏洞相关的利用后行为发出警报:

• 可疑Web请求-可能的Ivanti漏洞利用活动
• 可疑Web请求-可能的Ivanti cve - 2023 - 46805利用

博客更新

2024年1月12日: 更新以包含对的参考 M和iant公司关于这次攻击的博客，其中包括妥协的指标.

2024年1月16日: 更新注意到，Rapid7研究已经复制了漏洞链，并有一个 完整的技术分析可以在ackerkb中找到.

2024年1月23日: 更新，反映Rapid7实验室已经检测到试图利用Ivanti连接安全.

2024年1月24日: 更新了Ivanti关于恢复受损设备的额外指导. 客户应参考伊凡蒂 咨询, KB文章, 康复指导 随着新信息的不断曝光，他们的真相来源.

2024年1月30日: 更新了关于 补丁的延迟 从Ivanti.

2024年1月31日: 更新 新cf 由Ivanti披露的(cve - 2024 - 21893和cve - 2024 - 21888)，新 M和iant公司公司分析、新 中国钢铁工业协会公告 信息，和新的供应商提供 补丁信息. 更新了insighttidr和Rapid7 耐多药客户的检测信息. 更新到InsightVM覆盖开发团队正在调查新的cve.

2024年2月1日: 在今天(2月1日)的内容发布(内容版本1)中，InsightVM和expose客户将能够评估他们在Ivanti连接安全中暴露的cve - 2024 - 21888和cve - 2024 - 21893，并进行未经身份验证的漏洞检查.1.3083).

2024年2月2日: 已更新，以反映截至2月1日, Ivanti表示，针对所有已知漏洞的补丁也可用于Ivanti连接安全版本22.5R2.2、伊凡蒂政策安全.5R1.1.

2024年2月8日: Ivanti还披露了一个额外的漏洞, cve - 2024 - 22024, 在Ivanti连接安全和Ivanti策略安全. 根据 咨询目前，cve - 2024 - 22024尚未在野外被利用.

2024年2月12日: Updated to emphasize the need to factory reset devices; a vulnerability check for Ivanti连接安全 cve - 2024 - 22024 will be available in today's InsightVM 和 Nexpose content release.

2024年3月1日: In 一个顾问 2月29日上映, 中钢协, 与联邦调查局合作, NCSC-UK, 以及其他可信实体, 强烈敦促各组织考虑继续使用Ivanti连接安全和Ivanti策略安全网关的相关风险.

该报告指出，Ivanti的内部完整性检查器“不足以检测到威胁，网络威胁行为者可能能够获得根级持久性，尽管发布了出厂重置。.而且，“对于网络防御者来说，最安全的做法是假设一个老练的威胁行为者可能会在一个已被重置并休眠任意时间的设备上部署rootkit级别的持久性。."

中钢协的建议适用于Ivanti连接安全和Ivanti策略安全网关的所有使用, 不管之前采取了什么措施来缓解或修复cve - 2023 - 46805的威胁, cve - 2024 - 21887和cve - 2024 - 21893.