Ivanti Connect安全和策略安全网关的零日攻击

最后更新于2024年5月28日星期二21:25:43 GMT

Information on these vulnerabilities 和 follow-on CVEs has evolved considerably since this blog was originally published on January 11, 2024. 客户应参考伊凡蒂的各种 报告, KB文章, 康复指导  有关最新更新.

2024年1月10日，星期三，伊万蒂 披露了两个零日漏洞 影响其Ivanti Connect安全网关和Ivanti Policy安全网关. 安全公司Volexity也发现了这些漏洞 发表博客 提供了在野外观察到的妥协和攻击者行为指标的信息. 在2023年12月Volexity调查的一次攻击中, 这两个漏洞被链接起来以获得初始访问权限, 部署网站管理权限, 后门合法文件, 捕获凭证和配置数据, 然后进一步切入受害者的环境.

这两个漏洞来自最初的 咨询 是:

• cve - 2023 - 46805在Ivanti连接安全(9)的web组件中存在一个零日认证绕过漏洞.x, 22.x) 和 Ivanti策略安全 that allows a remote attacker to access restricted resources by bypassing control checks.
• cve - 2024 - 21887Ivanti连接安全 web组件中的一个关键的零日命令注入漏洞.x, 22.x) 和 Ivanti策略安全 that allows an authenticated administrator to send specially crafted requests 和 execute arbitrary comm和s on the appliance. 这个漏洞可以在互联网上被利用

Rapid7 research has reproduced the attack leveraging CVE-2023-46895 和 cve - 2024 - 21887; our team has a full technical analysis of the original exploit chain 在ackerkb中提供.

另外两个漏洞是 披露 2024年1月31日:

• cve - 2024 - 21893, a zero-day server-side request forgery vulnerability in the SAML component of Ivanti连接安全 (9.x, 22.x)和Ivanti策略安全 (9).x, 22.x) 和 Ivanti Neurons for ZTA that allows an attacker to access certain restricted resources without authentication. 根据伊万蒂的新建议, cve - 2024 - 21893已在有限数量的客户环境中被利用.
• cve - 2024 - 21888，在Ivanti连接安全(9)的web组件中的特权升级漏洞.x, 22.x)和Ivanti策略安全 (9).x, 22.X)，允许用户将权限提升到管理员的权限.

另一个漏洞是 披露 2024年2月8日:

• cve - 2024 - 22024 is Ivanti连接安全(9)的SAML组件中的XML外部实体或XXE漏洞.x, 22.x)、Ivanti策略安全 (9).x, 22.x) 和 ZTA gateways which allows an attacker to access certain restricted resources without authentication. 根据伊凡蒂的建议, 1月31日提供的缓解措施有效地阻止了这一易受攻击的端点.

美国.S. 网络安全和基础设施安全局(中钢协) 发布公告 1月30日警告称，威胁行为者正在利用Ivanti漏洞获取凭证, 降低网站管理权限, 并规避原始供应商提供的缓解措施. 这两个 Volexity 和 M和iant公司 有 发布 extensive descriptions of the attack 和 indicators of compromise — we strongly recommend reviewing their blogs. Volexity 和 中钢协 有 both emphasized that adversaries 有 been observed trying to evade Ivanti's ICS Integrity Checker Tool.

Rapid7 urges customers who use Ivanti连接安全 or Policy Secure to take immediate steps to 应用 the vendor-supplied patch 和 look for indicators of compromise. 中钢协和其他机构也强调了立即采取行动和持续搜寻威胁的重要性. 伊万蒂设备也应该出厂重置.

根据使用的查询，暴露在互联网上的设备数量差异很大. 当cve - 2023 - 46805和cve - 2024 - 21887被披露时, the following Shodan query identified roughly 7K devices on the public internet; looking for Ivanti’s welcome page alone more than doubles that number (but reduces accuracy): http.的图标.散列:-1439222863 html:“欢迎.cgi?p =标志. Rapid7 Labs has observed both scanning activity 和 exploit attempts targeting our honeypots that emulate Ivanti连接安全 appliances.

缓解指导

重要的是: Ivanti已经 发布 additional guidance on attacker artifacts 和 recovery steps for impacted appliances since the information below was initially published. 客户应参考伊凡蒂 咨询, KB文章, 康复指导 随着新信息的不断曝光，他们的真相来源.

• 所有 支持版本 (9.X和22.Ivanti连接安全和Ivanti策略安全的x)版本存在cve - 2023 - 46805漏洞, cve - 2024 - 21887, cve - 2024 - 21893, 和cve - 2024 - 21888.  
• 每 Ivanti通讯, 截至1月31日，所有四个cve都通过可用的补丁进行了修复, 2024通过伊万蒂连接安全(版本9)的标准下载门户.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2和22.5R1.1)和ZTA版本22.6R1.3. 截至2月1日, Ivanti连接安全 version 22还提供了一个解决已知漏洞的补丁.5R2.2、伊凡蒂政策安全.5R1.1.
• 还有一个 可用的补丁 截至2024年2月8日，cve - 2024 - 22024.
• Ivanti已经 这里是受影响设备的恢复步骤.
• 可以找到更新的补丁时间表和其他信息 在这里.

Ivanti连接安全, Ivanti策略安全, 和Ivanti Neurons的客户应该使用供应商提供的补丁 在紧急情况下 重置他们的设备，并调查他们的环境是否有被入侵的迹象. Ivanti advises customers using un支持版本 of the product to upgrade to a supported version before 应用ing workarounds.

注意: 攻击者已经观察到清除日志和/或禁用目标设备上的日志记录. 管理员应确保启用了日志记录. 伊万蒂有一个 内置的完整性检查工具 (ICT) that verifies the image on Ivanti连接安全 和 Ivanti策略安全 appliances 和 looks for modified files. 伊万蒂建议顾客使用 外部 版本的此工具来检查ICS/IPS映像的完整性, 因为伊万蒂已经看到对手“试图操纵”内部完整性检查工具.

注意: 每Ivanti的 咨询 和 KB文章 cve - 2023 - 46805和cve - 2024 - 21887, “ZTA网关的Ivanti神经元不能在生产中被利用. 如果生成了此解决方案的网关，并且未连接到ZTA控制器, 然后，在生成的网关上存在被利用的风险. Ivanti Neurons for Secure Access is not vulnerable to these CVEs; however, 被管理的网关独立存在这些cve漏洞.”

Rapid7客户

InsightVM 和 Nexpose customers can assess their exposure to Ivanti Pulse Connect Secure cve - 2023 - 46805 和 cve - 2024 - 21887 with unauthenticated vulnerability checks in the January 11 content release. Unauthenticated vulnerability checks are available cve - 2023 - 46805和cve - 2024 - 21887 in Ivanti策略安全 as of January 12 (content version 1.1.3069).

2月1日更新: InsightVM 和 Nexpose customers can assess their exposure to cve - 2024 - 21888 和 cve - 2024 - 21893 in Ivanti连接安全 with unauthenticated vulnerability checks in the February 1 content release (content version 1.1.3083). Further updates for Ivanti策略安全 和 coverage for Ivanti Neurons for ZTA are under investigation 和 may be available in the future.

2月12日更新: InsightVM 和 Nexpose customers will be able to assess their exposure to cve - 2024 - 22024 in Ivanti连接安全 with a vulnerability check available in the February 12 content release.

InsightIDR 和 管理检测和响应 customers 有 existing detection coverage through Rapid7's expansive library of detection rules. Rapid7 recommends installing the Insight Agent on all applicable hosts to ensure visibility into suspicious processes 和 proper detection coverage. Below is a non-exhaustive list of detections that are deployed 和 will alert on post-exploitation behavior related to this zero-day vulnerability:

• 可疑Web请求-可能的Ivanti漏洞利用活动
• 可疑Web请求-可能的Ivanti cve - 2023 - 46805利用

博客更新

2024年1月12日: 更新以包含对的参考 M和iant公司关于这次攻击的博客，其中包括妥协的指标.

2024年1月16日: 更新注意到，Rapid7研究已经复制了漏洞链，并有一个 完整的技术分析可以在ackerkb中找到.

2024年1月23日: 更新，反映Rapid7实验室已经检测到试图利用Ivanti连接安全.

2024年1月24日: 更新了Ivanti关于恢复受损设备的额外指导. 客户应参考伊凡蒂 咨询, KB文章, 康复指导 随着新信息的不断曝光，他们的真相来源.

2024年1月30日: 更新了关于 补丁的延迟 从Ivanti.

2024年1月31日: 更新 新cf 由Ivanti披露的(cve - 2024 - 21893和cve - 2024 - 21888)，新 M和iant公司公司分析、新 中国钢铁工业协会公告 信息，和新的供应商提供 补丁信息. 更新了insighttidr和Rapid7 耐多药客户的检测信息. 更新到InsightVM覆盖开发团队正在调查新的cve.

2024年2月1日: Updated to note that InsightVM 和 Nexpose customers will be able to assess their exposure to cve - 2024 - 21888 和 cve - 2024 - 21893 in Ivanti连接安全 with unauthenticated vulnerability checks in today's (February 1) content release (content version 1.1.3083).

2024年2月2日: 已更新，以反映截至2月1日, Ivanti已经 indicated that a patch addressing all known vulnerabilities is also available for Ivanti连接安全 version 22.5R2.2、伊凡蒂政策安全.5R1.1.

2024年2月8日: Ivanti还披露了一个额外的漏洞, cve - 2024 - 22024, 在Ivanti连接安全和Ivanti策略安全. 根据 咨询目前，cve - 2024 - 22024尚未在野外被利用.

2024年2月12日: Updated to emphasize the need to factory reset devices; a vulnerability check for Ivanti连接安全 cve - 2024 - 22024 will be available in today's InsightVM 和 Nexpose content release.

2024年3月1日: In 一个顾问 2月29日上映, 中钢协, 与联邦调查局合作, NCSC-UK, 以及其他可信实体, is strongly urging organizations to consider the risk associated with the continued use of Ivanti连接安全 和 Ivanti策略安全 gateways.

The 咨询 states that Ivanti's internal integrity checker "is not sufficient to detect compromise 和 that a cyber threat actor may be able to gain root-level persistence despite issuing factory resets." 和 that "the safest course of action for network defenders is to assume a sophisticated threat actor may deploy rootkit level persistence on a device that has been reset 和 lay dormant for an arbitrary amount of time."

中钢协的建议适用于Ivanti连接安全和Ivanti策略安全网关的所有使用, 不管之前采取了什么措施来缓解或修复cve - 2023 - 46805的威胁, cve - 2024 - 21887和cve - 2024 - 21893.