最新 Ivanti 漏洞被利用来部署新的DSLog后门

安全服务提供商 Orange Cyberdefense 报告称，Ivanti 企业 VPN 中最近修补的0day漏洞已被用于部署名为“DSLog”的后门攻击。

该漏洞编号为 CVE-2024-21893，是 Ivanti Connect Secure、Policy Secure 和 Neurons for ZTA 的 SAML 组件中发现的服务器端请求伪造 (SSRF) 错误，无需身份验证即可利用该错误泄露敏感信息。

Ivanti 于 1 月 31 日披露了该漏洞，同时发布了针对其企业 VPN 设备中其他三个漏洞的补丁，其中两个漏洞在 1 月初被标记为被利用的0day漏洞。

Ivanti 在其公告中指出：“我们知道受 CVE-2024-21893 影响的客户数量有限。”

Orange Cyberdefense在一份新报告(https://www.orangecyberdefense.com/fileadmin/general/pdf/Ivanti_Connect_Secure_-_Journey_to_the_core_of_the_DSLog_backdoor.pdf) 中表示，在 Rapid7 和 AssetNote 发布针对该漏洞的概念验证 (PoC) 代码后不久，它就观察到攻击者利用该漏洞。

“Orange Cyberdefense 发现攻击者利用此 SAML 漏洞将后门注入到 Ivanti 设备的组件中，从而为攻击者提供了持久的远程访问。攻击者还采取其他措施来控制对后门的访问。”该网络安全公司表示。

2 月 3 日，Orange 发现了一台受到感染的设备，该设备已应用 Ivanti 发布的初步缓解措施，但未应用补丁。

对设备的分析显示，攻击者进行了侦察，以确定他们是否仍然拥有设备的 root 访问权限，并且他们部署了一个新的后门，Orange 将其称为 DSLog。

该后门允许攻击者在受感染的设备上执行命令并记录所有 Web 请求，包括经过身份验证的用户和管理员请求以及系统日志。

据 Orange 称，后门对每个设备使用唯一的哈希值，并且在尝试联系它时不会返回状态/代码，从而阻止其直接检测。

Orange 在寻找利用 SSRF 漏洞时创建的工件时，发现了 700 个受感染的设备。超过一百个在针对其他两个0day漏洞（CVE-2023-46805 和 CVE-2024-21887）的攻击中受到损害，但其余的已应用了初始 XML 缓解措施。

建议组织安装 Ivanti 于 1 月 31 日和 2 月 1 日发布的补丁，这些补丁取代了最初的缓解措施并防止所有三个0day漏洞被利用，并将其设备恢复出厂设置以完成升级过程。

他们还应该安装 Ivanti 于 2 月 8 日发布的安全更新，以解决其 VPN 设备的 SAML 组件中的另一个漏洞。在该漏洞被公开披露后不久， 攻击者就开始利用该漏洞，该漏洞的编号为 CVE-2024-22024。

参考链接：https://www.securityweek.com/ivanti-vulnerability-exploited-to-deliver-new-dslog-backdoor/