在修补一个漏洞后不到两周,Ivanti 于 9 月 19 日宣布,第二个关键的云服务设备 (CSA) 漏洞正在被广泛利用。漏洞(CVE-2024-8963、CVSS 9.4)是 Ivanti CSA 中的一种路径遍历,允许未经身份验证的远程攻击者访问受限功能。攻击者已将其与之前披露的漏洞 CVE-2024-8190 联系起来,这是一个高度严重的操作系统命令注入漏洞,可能允许对设备进行未经授权的访问。如果攻击者具有管理员级别的权限,则可以利用该链进行远程代码执行 (RCE)。“如果 CVE-2024-8963 与 CVE-2024-8190 结合使用,攻击者可以绕过管理员身份验证并在设备上执行任意命令,”该公司表示。该消息发布之际,Ivanti 自 2023 年以来一直面临一系列安全问题。不是第一个,也可能不是最后一个仅今年一年,Ivanti 就面临着一个又一个的缺陷;今年 2 月,网络安全和基础设施安全局 (CISA) 下令在 48 小时内断开 Ivanti VPN 设备的连接、重建和重新配置,因为人们担心多个威胁行为者正在利用系统中发现的安全漏洞。4 月,外国民族国家黑客利用易受攻击的 Ivanti 网关设备攻击了 MITRE,打破了其 15 年无事故的记录。在这方面,MITRE 并不孤单,因为数千个 Ivanti VPN 实例因两个未修补的零日漏洞而遭到入侵。8 月,Ivanti 的 Virtual Traffic Manager (vTM) 隐藏了一个严重漏洞,该漏洞可能导致绕过身份验证,并在没有企业提供的补丁的情况下创建管理员用户。“这些已知但未修补的漏洞已成为攻击者最喜欢的目标,因为它们很容易被利用,而且组织通常不知道带有 EOL 系统的设备仍在他们的网络中运行,”Sevco Security 的联合创始人 Greg Fitzgerald 在给 Dark Reading 的电子邮件声明中说。在持续的风暴中提供保护为了缓解这种威胁,Ivanti 建议其客户将 Ivanti CSA 4.6 升级到 CSA 5.0。他们还可以将 CSA 4.6 补丁 518 更新到补丁 519;但是,此产品已进入生命周期结束,因此建议升级到 CSA 5.0。除此之外,Ivanti 建议所有客户确保双宿主 CSA 配置,并将 eth0 作为内部网络。如果客户担心管理员可能已泄露,则应查看 CSA 中是否有已修改的或新添加的管理员。如果用户安装了终端节点检测和响应 (EDR),则建议同时查看这些警报。用户可以通过 Ivanti 的成功门户记录案例或请求呼叫来请求帮助或提出问题。
