Bleepingcomputer網(wǎng)站消息，數(shù)千個Ivanti Connect Secure和Policy Secure終端仍然易受到一個多月前首次披露的多個安全漏洞的影響。目前，這些漏洞已由供應商逐步修復。

影響終端的漏洞包括CVE-2024-22024、CVE-2023-46805、CVE-2024-21887、CVE-2024-21893和CVE-2024-21888。它們的嚴重程度從高到關(guān)鍵不等，涉及的問題包括身份驗證繞過、服務器端請求偽造、任意命令執(zhí)行和命令注入問題。在這些漏洞被威脅行為者大規(guī)模利用之前，已有報告稱一些漏洞被國家支持的威脅行為者所利用。

上周，CVE-2024-22024漏洞首次披露，該漏洞是Ivanti Connect Secure、Policy Secure和ZTA網(wǎng)關(guān)的SAML組件中的一個XXE漏洞，它允許威脅行為者在未授權(quán)的情況下訪問受限資源。

目前，尚未確認有活躍的利用漏洞情況，供應商建議如果沒有補丁可用，那么立即應用現(xiàn)有的安全更新或緩解措施至關(guān)重要。

Akamai發(fā)布的報告中提到，已經(jīng)針對這一特定漏洞發(fā)起掃描，2024年2月11日有24萬個請求和80個IP嘗試發(fā)送有效載荷。

威脅監(jiān)測服務公司Shadowserver報告稱，其互聯(lián)網(wǎng)掃描顯示有3900多個Ivanti終端易受到CVE-2024-22024漏洞攻擊，其中大多數(shù)（1262個）終端位于美國。該公司觀察到大約有1000個Ivanti終端仍然易受CVE-2024-21887漏洞的攻擊，它允許經(jīng)過認證的管理員通過發(fā)送特制的請求在易受攻擊的設備上執(zhí)行任意命令。

2024年1月10日，該漏洞與CVE-2023-46805作為零日漏洞被首次披露，后者是一個認證繞過問題。

Macnica的安全研究員Yutaka Sejiyama向BleepingComputer分享了他的Shodan掃描結(jié)果，報告顯示截至2024年2月15日00:15 UTC，共有13636臺Ivanti服務器還未應用針對CVE-2024-21893、CVE-2024-21888、CVE-2023-46805和CVE-2024-21887的補丁。2024年1月31日，Ivanti針對這4個漏洞發(fā)布了安全更新版本。

根據(jù)研究員的說法，共有24239臺Ivanti服務器暴露在互聯(lián)網(wǎng)上，這意味著超過一半的服務器依然沒有打補丁。

關(guān)于CVE-2024-22024，該漏洞在2024年2月8日被披露并得到修復，Sejiyama的研究顯示，截至2月15日，全球有77.3%的服務器已經(jīng)打上了補丁，但仍有5496臺服務器暴露于這個危險的未授權(quán)訪問漏洞之下。

不幸的是，影響Ivanti產(chǎn)品的這些漏洞在短時間內(nèi)被連續(xù)披露，管理員幾乎沒有時間準備并應用這些補丁。這不僅增加了修復工作的復雜性，還提高了Ivanti系統(tǒng)因長時間處于脆弱狀態(tài)而面臨的風險，為威脅行為者提供了大量潛在受害者的清單。