Ivanti 网络设备遭受严重安全漏洞攻击

关键要点

Ivanti 近期经历了一个月的噩梦，面临四个针对其网络设备的重大漏洞，当前其中一个漏洞已被多个威胁行为者广泛利用。该供应商在 1 月 10 日披露了两个正在被积极利用的零日缺陷，影响了其 Connect Secure VPN 和 Policy Secure 网络网关设备。此后在 1 月 31 日，Ivanti 又在修复过程中发现了两个额外的漏洞。

至今，这一系列事件导致了网络安全和基础设施安全局 (CISA) 罕见地要求联邦机构断开所有受影响设备与网络的连接。

在 2 月 5 日的一则社交媒体帖子中，Shadowserver 表示自 2 月 2 日起监测到针对其中一个新发现漏洞，CVE202421893 的攻击，该漏洞的攻击源来自 170 多个不同的 IP 地址。

Rapid7 在 2 月 2 日发布了该漏洞的概念证明PoC，但 Shadowserver 表示它在 Rapid7 的 PoC 可用之前便开始监测到攻击。Ivanti 也曾报告过 CVE202421893 正在被广泛利用。

Ivanti 设备遭受 SSRF 攻击

根据 Shadowserver 数据图表显示针对 Ivanti 设备的攻击情况，CVE202421893 在 2 月 4 日迅速成为最受欢迎的攻击向量。在那一天，CVE202421893 占 Ivanti 设备所有攻击的 103 次，总计 185 次。

CVE202421893 是一种服务器端请求伪造SSRF漏洞。其余三个漏洞分别为身份验证绕过漏洞 CVE202346805，命令注入漏洞 CVE202421887，以及特权提升漏洞 CVE202421888目前尚未确认是否被利用。

在其 PoC 帖子中，Rapid7 透露 CVE202421893 被用来绕过 Ivanti 针对前两个漏洞的初始缓解措施。Rapid7 的首席安全研究员 Stephen Fewer 在一条推文中表示：“我们发现的 SSRF 实际上是 xmltooling 库中的 nday 漏洞，该漏洞在 2023 年 6 月左右修补，并被指派为 CVE202336661。”他还补充道：“该 SSRF 漏洞可以与 CVE202421887 链接，导致未经身份验证的命令注入，并取得 root 权限。”

疑似中国黑客组织的早期攻击

目前尚不清楚哪些威胁团体在利用 SSRF 漏洞发起的攻击激增。然而，Mandiant 将早期的 CVE202346805 和 CVE202421887 的攻击归因于一个被其追踪的组织 UNC5221，并怀疑该组织是与中国相关的间谍行为者。

Mandiant 的研究人员表示：“Mandiant 已观察到 UNC5221 针对对中华人民共和国PRC具有战略利益的多个领域进行攻击，无论是在漏洞披露前后，早期的迹象显示其工具和基础设施与过去被怀疑为中国间谍行为者的入侵有重叠。”他们补充说道：“UNC5221 之前主要使用与边缘基础设施的零日漏洞利用相关的策略、技术和程序。”

相关链接： CISA 发布声明 [Rapid7 的 PoC 分析](https//attackerkbcom/topics/FGlK1TVnB2/cve2024218