在修补一个漏洞后不到两周,Ivanti 于 9 月 19 日宣布,第二个关键的云服务设备 (CSA) 漏洞正在被广泛利用。
漏洞(CVE-2024-8963、CVSS 9.4)是 Ivanti CSA 中的一种路径遍历,允许未经身份验证的远程攻击者访问受限功能。攻击者已将其与之前披露的漏洞 CVE-2024-8190 联系起来,这是一个高度严重的操作系统命令注入漏洞,可能允许对设备进行未经授权的访问。如果攻击者具有管理员级别的权限,则可以利用该链进行远程代码执行 (RCE)。
“如果 CVE-2024-8963 与 CVE-2024-8190 结合使用,攻击者可以绕过管理员身份验证并在设备上执行任意命令,”该公司表示。
该消息发布之际,Ivanti 自 2023 年以来一直面临一系列安全问题。
不是第一个,也可能不是最后一个
仅今年一年,Ivanti 就面临着一个又一个的漏洞;今年 2 月,网络安全和基础设施安全局 (CISA) 下令在 48 小时内断开 Ivanti VPN 设备的连接、重建和重新配置,因为人们担心多个威胁行为者正在利用系统中发现的安全漏洞。
4 月,外国民族国家黑客利用易受攻击的 Ivanti 网关设备攻击了 MITRE,打破了其 15 年无事故的记录。在这方面,MITRE 并不孤单,因为数千个 Ivanti VPN 实例因两个未修补的零日漏洞而遭到入侵。
8 月,Ivanti 的 Virtual Traffic Manager (vTM) 隐藏了一个严重漏洞,该漏洞可能导致绕过身份验证,并在没有企业提供的补丁的情况下创建管理员用户。
“这些已知但未修补的漏洞已成为攻击者最喜欢的目标,因为它们很容易被利用,而且组织通常不知道带有 EOL 系统的设备仍在他们的网络中运行,”Sevco Security 的联合创始人 Greg Fitzgerald 在给 Dark Reading 的电子邮件声明中说。
在持续的风暴中提供保护
为了缓解这种威胁,Ivanti 建议其客户将 Ivanti CSA 4.6 升级到 CSA 5.0。他们还可以将 CSA 4.6 补丁 518 更新到补丁 519;但是,此产品已进入生命周期结束,因此建议升级到 CSA 5.0。
除此之外,Ivanti 建议所有客户确保双宿主 CSA 配置,并将 eth0 作为内部网络。
如果客户担心管理员可能已泄露,则应查看 CSA 中是否有已修改的或新添加的管理员。如果用户安装了终端节点检测和响应 (EDR),则建议同时查看这些警报。
用户可以通过 Ivanti 的成功门户记录案例或请求呼叫来请求帮助或提出问题。
发表评论
您还未登录,请先登录。
登录