Ivanti SSRF 发出警告，新的零日漏洞正在大规模被利用

跟踪为 CVE-2024-21893 的 Ivanti Connect Secure 和 Ivanti Policy Secure 服务器端请求伪造 （SSRF） 漏洞目前正被多个攻击者大规模利用。

Ivanti 于 2024 年 1 月 31 日首次警告网关的 SAML 组件存在漏洞，使其处于零日状态，可进行有限的主动利用，从而影响少数客户。

利用 CVE-2024-21893，攻击者可以绕过身份验证并访问易受攻击设备（版本 9.x 和 22.x）上的受限资源。威胁监控服务 Shadowserver 现在看到多个攻击者利用 SSRF 漏洞，有 170 个不同的 IP 地址试图利用该漏洞。

此特定漏洞的利用量远远大于最近修复或缓解的其他 Ivanti 漏洞，表明攻击者的重点明显转移。

尽管 Rapid7 研究人员于 2024 年 2 月 2 日发布的概念验证 （PoC） 漏洞无疑在协助攻击方面发挥了作用，但 Shadowserver 指出，他们在 Rapid7 报告发布前几个小时就看到攻击者使用类似的方法。

这意味着黑客已经想出了如何利用 CVE-2024-21893 不受限制、未经身份验证地访问易受攻击的 Ivanti 端点。

根据 ShadowServer 的数据，目前有近 22,500 台 Ivanti Connect Secure 设备暴露在互联网上。然而，目前尚不清楚有多少人容易受到这种特定漏洞的影响。

安全混乱

CVE-2024-21893 的披露伴随着影响相同产品的另外两个零日漏洞的安全更新的发布，即 CVE-2023-46805 和 CVE-2024-21887，Ivanti 于 2024 年 1 月 10 日首次发现这两个产品，并分享了临时缓解措施。

这两个漏洞被发现被中国间谍威胁组织 UTA0178/UNC5221 利用，在被破坏的设备上安装 webshell 和后门。这场运动的感染人数在1月中旬达到1,700人左右的峰值。

尽管最初采取了缓解措施，但攻击者绕过了防御措施，甚至破坏了设备的配置文件，导致 Ivanti 推迟了原定于 1 月 22 日发布的固件补丁，以应对复杂的威胁。

由于存在多个关键零日漏洞被积极利用的情况，缺乏有效的缓解措施，并且某些受影响的产品版本缺乏安全更新，美国网络安全和基础设施安全局 （CISA） 已下令联邦机构断开所有 Ivanti Connect Secure 和 Policy Secure VPN 设备的连接。

只有已恢复出厂设置并升级到最新固件版本的设备才能重新连接到网络。但是，仍然受影响的旧版本仍然没有补丁。

该指令适用于私人组织，尽管它不是强制性的。因此，公司应认真考虑其 Ivanti 部署的安全状态以及总体环境的信任度。