上个月，在Ivanti妥协后，CISA被迫将两个系统下线

官员们说，黑客在2月份通过Ivanti产品中的漏洞破坏了网络安全和基础设施安全局（CISA）的系统。

CISA 发言人向 Recorded Future News 证实，大约一个月前，该机构“发现了表明该机构使用的 Ivanti 产品漏洞被利用的活动”。

“影响仅限于两个系统，我们立即将其下线。我们将继续升级和现代化我们的系统，目前不会对运营产生影响，“发言人说。

“这提醒我们，任何组织都可能受到网络漏洞的影响，制定事件响应计划是弹性的必要组成部分。”

CISA拒绝回答一系列问题，包括谁是事件的幕后黑手，数据是否被访问或被盗，以及哪些系统被下线。Ivanti 开发的软件供组织用于管理 IT，包括安全和系统访问。

一位了解情况的消息人士告诉Recorded Future News，被入侵的两个系统是基础设施保护（IP）网关，它包含有关美国基础设施相互依存的关键信息，以及化学安全评估工具（CSAT），它包含私营部门的化学安全计划。CISA拒绝确认或否认这些系统是否是离线的系统。

CSAT拥有该国一些最敏感的工业信息，包括高风险化学设施的Top Screen工具，现场安全计划和安全漏洞评估。

CISA 表示，组织应审查该机构于 2 月 29 日发布的公告，该公告警告说，威胁行为者正在利用 Ivanti Connect Secure 和 Ivanti Policy Secure 网关中先前发现的漏洞，包括 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893。

上周，几家世界领先的网络安全机构透露，黑客已经发现了一种绕过 Ivanti 发布的工具的方法，该工具可以帮助组织检查他们是否遭到入侵。

CISA 表示，在与此活动相关的多次事件响应中，CISA 发现 Ivanti 的内部和以前的外部 ICT 未能检测到危害。此外，CISA 还在实验室环境中进行了独立研究，验证了 Ivanti ICT 不足以检测入侵，并且网络威胁行为者在恢复出厂设置的情况下仍可能获得根级持久性。

黑客能够窃取 Ivanti 设备上的凭据，并在某些情况下扩大对全域入侵的访问范围。

他们表示：“编写组织强烈敦促所有组织在决定是否继续在企业环境中运行这些设备时，考虑对手访问和持久使用 Ivanti Connect Secure 和 Ivanti Policy Secure 网关的重大风险。

Ivanti 的移动端点管理软件在世界各国政府中很受欢迎，该公司产品中的几个漏洞使黑客能够远程访问受害者的个人身份信息，例如姓名、电话号码和其他移动设备详细信息。CISA在去年的安全警报中表示，攻击者还可以进行其他配置更改，包括创建一个管理帐户，该帐户可以对易受攻击的系统进行进一步更改。

自 2020 年以来，CISA 一直警告组织，国家支持的黑客（包括与中国有联系的黑客）利用 Ivanti 产品中的漏洞。

2023 年 4 月，身份不明的黑客开始利用影响 Ivanti 产品的新漏洞攻击挪威政府，破坏了十几个国家部委。

CISA、Ivanti 和包括 Mandiant 和 Volexity 在内的几家安全公司在 1 月初对两个漏洞发出了警告，据称这两个漏洞被中国国家支持的间谍黑客利用。有关这些漏洞的消息促使网络犯罪分子和其他人也试图利用它们。

该机构官员此前曾告诉记者，“大约有15个机构正在使用这些产品”，但拒绝确认是否有任何机构涉及妥协。使用这些工具的机构涵盖“广泛的......跨越联邦使命的广度，“一位官员说。

另外两个漏洞被发现影响到相同的产品，其中一个被证实被用于攻击 Ivanti 客户，其中包括全球数百个政府机构。

这两个新漏洞促使 CISA 下令美国所有联邦民事机构在 2 月 2 日之前断开 Ivanti Connect Secure 和 Policy Secure 产品的连接。CISA 后来在 2 月 9 日更新了其公告，称产品在修补后可以重新打开。