研究人员称攻击者正在大规模利用新的Ivanti VPN漏洞，Fortinet警告APT 组织在攻击中利用FortiOS漏洞

新的公开数据显示，黑客已开始大规模利用影响 Ivanti 的企业 VPN 设备的第三个漏洞。

上周，Ivanti 表示，它发现了两个新的安全漏洞（编号为 CVE-2024-21888 和 CVE-2024-21893），影响 Connect Secure，这是全球数千家公司和大型组织使用的远程访问 VPN 解决方案。

根据其网站，Ivanti 拥有超过 40,000 家客户，包括大学、医疗机构和银行，其技术允许员工从办公室外登录。

就在 Ivanti 确认 Connect Secure 中存在两个早期漏洞（编号为 CVE-2023-46805 和 CVE-2024-21887）后不久，安全研究人员表示，某国支持的黑客自 12 月以来一直在利用这些漏洞闯入客户网络并窃取信息。

现在数据显示，新发现的缺陷之一——CVE-2024-21893，一个服务器端请求伪造缺陷——正在被大规模利用。

尽管 Ivanti 此后已修补了这些漏洞，但安全研究人员预计，随着越来越多的黑客组织利用该漏洞，会对组织产生更大的影响。

网络安全公司 Volexity 一直在跟踪 Ivanti 漏洞的利用情况，网络安全公司 Volexity 的创始人史蒂文·阿代尔 (Steven Adair) 警告说，概念验证漏洞代码已公开，“任何可通过互联网访问的未打补丁的设备都可能多次遭到破坏”。

扫描和监控互联网漏洞的非营利组织 Shadowserver Foundation 的首席执行官 Piotr Kijewski 周四告诉 TechCrunch，该组织已观察到超过 630 个独特的 IP 试图利用服务器端缺陷，从而使攻击者能够获得访问权限易受攻击的设备上的数据。

与上周 Shadowserver 表示观察到 170 个唯一 IP试图利用该漏洞相比，这一数字急剧增加。

对新服务器端缺陷的分析表明，该错误可被用来绕过 Ivanti 针对涉及前两个漏洞的初始利用链的原始缓解措施，从而有效地使这些补丁前的缓解措施变得毫无意义。

Kijewski 补充说，Shadowserver 目前观察到大约 20,800 台 Ivanti Connect Secure 设备暴露在互联网上，低于上周的 22,500 台，不过他指出，目前尚不清楚其中有多少 Ivanti 设备容易受到利用。

目前尚不清楚大规模利用的幕后黑手是谁，安全研究人员将前两个 Connect Secure 漏洞的利用归咎于某国政府支持的黑客组织，该组织可能是出于间谍活动的动机。

Ivanti 此前表示，它意识到针对“有限数量的客户”的服务器端漏洞的“有针对性”利用。尽管 TechCrunch 本周一再要求，Ivanti 不愿对有关该漏洞正在被大规模利用的报道发表评论，但它并没有对 Shadowserver 的调查结果提出异议。

Ivanti本月早些时候开始向客户发布针对所有漏洞的补丁以及第二组缓解措施。然而，Ivanti 在其安全公告（最后一次更新于 2 月 2 日）中指出，它“首先针对安装量最高的用户发布补丁，然后继续按递减的顺序发布补丁”。

目前尚不清楚 Ivanti 何时会向所有潜在易受攻击的客户提供这些补丁。

几天前，美国网络安全机构CISA 命令联邦机构紧急断开所有 Ivanti VPN 设备的连接，有报道称另一个 Ivanti 漏洞被大规模利用。

该机构发出警告称，CISA 仅给各机构两天的时间来断开设备连接，理由是受到主动攻击的漏洞造成了“严重威胁”。

Fortinet 周三警告说，APT组织一直在利用两个已知的 FortiOS 漏洞进行针对各个部门（包括关键基础设施）的攻击。

其中一个被利用的漏洞是 CVE-2022-42475，Fortinet 于 2022 年 12 月修补了该漏洞，当时它警告说，它已经意识到了野外利用的情况。APT组织利用该缺陷作为针对政府和其他类型组织的0day攻击。

Fortinet 新警告中描述的第二个漏洞是CVE-2023-27997，该漏洞于 2023 年 6 月曝光，当时该网络安全公司通知客户该漏洞已在有限的攻击中被用作0day漏洞。

Fortinet 周三指出，一些客户尚未修补这两个 FortiOS 漏洞，该公司已经发现了多起攻击和攻击集群，其中包括针对政府、服务提供商、制造、咨询和关键基础设施部门的攻击和攻击集群。

该公司分享了技术细节和危害检测指标 (IoC)，以帮助组织检测和调查攻击。

参考链接：

https://techcrunch.com/2024/02/08/researchers-say-attackers-are-mass-exploiting-new-ivanti-vpn-flaw/

https://www.securityweek.com/fortinet-warns-of-new-fortios-zero-day/