網(wǎng)絡(luò)安全和IT管理軟件巨頭Ivanti的兩款產(chǎn)品(Connect Secure VPN和Ivanti Policy Secure網(wǎng)絡(luò)訪問控制設(shè)備)曝出的兩個零日漏洞近日在全球范圍被大規(guī)模利用于部署后門、挖礦軟件和自定義惡意軟件。

16萬VPN設(shè)備暴露

這兩個零日漏洞分別是：身份驗(yàn)證繞過漏洞(CVE-2023-46805)和CVE-2024-21887命令注入漏洞。去年12月，威脅情報公司Volexity首次發(fā)現(xiàn)兩個零日漏洞的野外利用。攻擊者組合可利用這兩個零日漏洞在受影響的ICS VPN和IPS設(shè)備上執(zhí)行任意命令，在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動、竊取數(shù)據(jù)并通過部署后門建立持久的系統(tǒng)訪問權(quán)限。

根據(jù)威脅監(jiān)控服務(wù)Shadowserver的最新數(shù)據(jù)，目前有超過16.2萬個在線暴露的ICS VPN設(shè)備，其中超過4700個在美國(Shodan還發(fā)現(xiàn)近17000個在線暴露的Ivanti ICS設(shè)備)。

Shadowserver還監(jiān)控全球受感染Ivanti Connect Secure VPN實(shí)例的數(shù)量和利用嘗試，僅1月18日就發(fā)現(xiàn)了420多個被黑設(shè)備。

被黑的Ivanti設(shè)備全球分布 數(shù)據(jù)來源：Shadowserver

CISA發(fā)出2024年首個緊急指令

美國關(guān)鍵基礎(chǔ)設(shè)施管理局(CISA)上周末發(fā)布了2024年首個緊急指令(ED24-01)要求美國聯(lián)邦機(jī)構(gòu)必須立即實(shí)施Ivanti公開披露的緩解措施(鏈接在文末)，使用Ivanti提供的外部完整性檢查工具檢查是否發(fā)生數(shù)據(jù)泄漏，并且采取以下措施：

美國東部時間2024年1月22日星期一晚上11:59前通過Ivanti的下載門戶下載“mitigation.release.20240107.1.xml”并將其導(dǎo)入到受影響的產(chǎn)品中。(可能會降低產(chǎn)品性能)

立即向CISA報告攻擊跡象

從代理網(wǎng)絡(luò)中刪除受感染的產(chǎn)品。啟動事件分析，通過創(chuàng)建取證硬盤驅(qū)動器映像來保留受感染設(shè)備的數(shù)據(jù)，并尋找進(jìn)一步受感染的跡象。

讓受感染的產(chǎn)品重新投入使用，使用受影響的Ivanti解決方案軟件將設(shè)備重置為出廠默認(rèn)設(shè)置，并通過應(yīng)用Ivanti的緩解措施來消除攻擊媒介。

聯(lián)邦機(jī)構(gòu)恢復(fù)被感染設(shè)備并重新投入使用時還必須遵循Ivanti的恢復(fù)說明：

• 撤銷并重新頒發(fā)任何存儲的證書。
• 重置管理員啟用密碼。
• 重置存儲的API密鑰。
• 重置網(wǎng)關(guān)上定義的任何本地用戶的密碼，包括用于身份驗(yàn)證服務(wù)器配置的服務(wù)帳戶。
• 在受影響的產(chǎn)品可用時且不晚于Ivanti發(fā)布后48小時內(nèi)，應(yīng)用本指令中提到的兩個漏洞的更新。

CISA還要求聯(lián)邦機(jī)構(gòu)在緊急指令發(fā)布一周后向其報告網(wǎng)絡(luò)中Ivant iConnect Secure和Ivanti Policy Secure產(chǎn)品所有實(shí)例的完整清單，包括所采取行動和結(jié)果的詳細(xì)信息。

Ivanti零日漏洞利用“遍地開花”

Mandiant安全專家上周五發(fā)現(xiàn)了五種定制惡意軟件菌株部署在被入侵的Ivanti客戶系統(tǒng)上，目標(biāo)是竊取憑據(jù)、部署Webshell和其他惡意負(fù)載。

攻擊中使用的工具列表包括：

• Zipline Passive Backdoor：自定義惡意軟件，可以攔截網(wǎng)絡(luò)流量，支持上傳/下載操作，創(chuàng)建反向shell、代理服務(wù)器、服務(wù)器隧道
• Thinspool Dropper：自定義shell腳本dropper，將Lightwire Web shell寫入Ivanti CS，確保持久性
• Wirefire Web shell：基于Python的自定義Webshell，支持未經(jīng)身份驗(yàn)證的任意命令執(zhí)行和負(fù)載刪除
• Lightwire Web shell：嵌入合法文件中的自定義Perl Web shell，可實(shí)現(xiàn)任意命令執(zhí)行
• Warpwire Harvester：基于Java Script的自定義工具，用于在登錄時收集憑據(jù)，并將其發(fā)送到命令和控制(C2)服務(wù)器
• PySoxy隧道器：促進(jìn)網(wǎng)絡(luò)流量隧道的隱蔽性
• Busy Box：多調(diào)用二進(jìn)制文件，結(jié)合了各種系統(tǒng)任務(wù)中使用的許多Unix實(shí)用程序
• Thinspool實(shí)用程序(sessionserver.pl)：用于將文件系統(tǒng)重新掛載為“讀/寫”以啟用惡意軟件部署

最值得注意的工具是Zipline，這是一種被動后門，可以攔截傳入的網(wǎng)絡(luò)流量并提供文件傳輸、反向shell、隧道和代理功能。

威脅情報公司Volexity表示，一個疑似國家黑客組織的攻擊者已使用GIFTEDVISITOR Webshell變體為2100多臺Ivanti設(shè)備添加了后門。

Volexity和GreyNoise還發(fā)現(xiàn)攻擊者正在部署XMRig加密貨幣挖礦程序，而基于Rust的惡意軟件有效負(fù)載仍在等待分析結(jié)果。

值得注意的是，去年Ivanti的產(chǎn)品就曾多次曝出零日漏洞被利用。

去年4月開始，Ivanti的Endpoint Manager Mobile(EPMM)產(chǎn)品中的兩個零日漏洞(CVE-2023-35078和CVE-2023-35081)被積極利用，受害者包括多個挪威政府組織。

一個月后，黑客開始利用Ivanti Sentry軟件中的第三個零日漏洞(CVE-2023-38035)在針對性攻擊中繞過設(shè)備上的API身份驗(yàn)證。