Ivanti 正在导致美国机密数据泄露

美国政府机构可能遭受最大的政府数据泄露。

美国网络安全和基础设施安全局 ( CISA ) 发布紧急指令，呼吁联邦民事行政部门 (FCEB) 机构采取行动，减轻Ivanti Connect Secure (ICS) 和 Ivanti 中两个被积极利用的零日漏洞的影响策略安全 (IPS)。

该警告是由于两个漏洞——身份验证绕过（ CVE-2023-46805 ，CVSS 得分：8.2）和代码注入错误（ CVE-2024-21887 ，CVSS 得分：9.1）——已被许多攻击者广泛使用。这些缺陷允许攻击者创建恶意请求并在系统上执行任意命令。

Ivanti 承认， 从 2024 年 1 月 11 日漏洞被公开披露后开始，“威胁行为者活动急剧增加” 。成功利用漏洞使网络犯罪分子能够进行横向移动、窃取数据并提供对系统的永久访问，从而导致目标信息系统的完全受损。

Ivanti 预计将在下周发布更新来解决该缺陷，并通过 XML 文件提供了临时解决方法，该文件可以导入到受影响的产品中以进行必要的配置更改。

CISA 鼓励 使用 ICS 的组织实施安全控制并运行外部完整性工具来识别妥协迹象，如果发现，请将其与网络断开并重新启动设备，然后导入 XML 文件。

此外， 强烈 鼓励 FCEB 组织撤销并重新颁发任何存储的证书、重置管理员密码、存储 API 密钥以及重置网关上定义的任何本地用户的密码。

网络安全公司 Volexity 和 Mandiant 观察 到利用这些缺陷部署 Web shell 和后门以持续访问受感染设备的攻击。据估计，迄今为止，全球约有 2,100 台设备遭到黑客攻击。