Ivanti Connect安全和策略安全网关的零日攻击

Last updated at Mon, 04 Mar 2024 21:19:34 GMT

自本博客于1月11日最初发布以来，有关这些漏洞和后续cve的信息已经发生了很大的变化, 2024. Customers should refer to Ivanti's various advisories, KB article, and recovery guidance  for the latest updates.

On Wednesday, January 10, 2024, Ivanti disclosed two zero-day vulnerabilities 影响其Ivanti Connect安全网关和Ivanti Policy安全网关. 安全公司Volexity也发现了这些漏洞 published a blog 提供了在野外观察到的妥协和攻击者行为指标的信息. 在2023年12月Volexity调查的一次攻击中, 这两个漏洞被链接起来以获得初始访问权限, deploy webshells, backdoor legitimate files, capture credentials and configuration data, and pivot further into the victim environment.

The two vulnerabilities from the initial advisory are:

• CVE-2023-46805在Ivanti Connect Secure(9)的web组件中存在一个零日认证绕过漏洞.x, 22.x)和Ivanti Policy Secure，允许远程攻击者通过绕过控制检查访问受限制的资源.
• CVE-2024-21887Ivanti Connect Secure web组件中的一个关键的零日命令注入漏洞.x, 22.x)和Ivanti Policy Secure，它允许经过身份验证的管理员发送特制的请求并在设备上执行任意命令. 这个漏洞可以在互联网上被利用

Rapid7 research has reproduced the attack leveraging CVE-2023-46895 and CVE-2024-21887; our team has a full technical analysis of the original exploit chain available in AttackerKB.

Two additional vulnerabilities were disclosed on January 31, 2024:

• CVE-2024-21893, Ivanti Connect Secure(9)的SAML组件中的一个零日服务器端请求伪造漏洞.x, 22.x) and Ivanti Policy Secure (9.x, 22.x)和Ivanti神经元的ZTA，允许攻击者访问某些受限制的资源，而无需身份验证. According to Ivanti's new advisory, CVE-2024-21893已在有限数量的客户环境中被利用.
• CVE-2024-21888，在Ivanti Connect Secure(9)的web组件中的特权升级漏洞.x, 22.x) and Ivanti Policy Secure (9.x, 22.X)，允许用户将权限提升到管理员的权限.

An additional vulnerability was disclosed on February 8, 2024:

• CVE-2024-22024 is Ivanti Connect Secure(9)的SAML组件中的XML外部实体或XXE漏洞.x, 22.x), Ivanti Policy Secure (9.x, 22.x)和ZTA网关，允许攻击者访问某些受限制的资源而无需身份验证. According to Ivanti's advisory, 1月31日提供的缓解措施有效地阻止了这一易受攻击的端点.

The U.S. 网络安全和基础设施安全局(CISA) published a bulletin 1月30日警告称，威胁行为者正在利用Ivanti漏洞获取凭证, drop webshells, 并规避原始供应商提供的缓解措施. Both Volexity and Mandiant have released 我们强烈建议大家查看他们的博客，详细描述攻击和攻击迹象. Volexity和CISA都强调，已经观察到对手试图逃避Ivanti的ICS完整性检查工具.

Rapid7敦促使用Ivanti Connect Secure或Policy Secure的客户立即采取措施应用供应商提供的补丁，并寻找妥协的指标. CISA和其他机构也强调了立即采取行动和持续搜寻威胁的重要性. Ivanti devices should also be factory reset.

根据使用的查询，暴露在互联网上的设备数量差异很大. 当CVE-2023-46805和CVE-2024-21887被披露时, the following Shodan query identified roughly 7K devices on the public internet; looking for Ivanti’s welcome page alone more than doubles that number (but reduces accuracy): http.favicon.hash:-1439222863 html:"welcome.cgi?p=logo. Rapid7实验室已经观察到扫描活动和针对我们的蜜罐的攻击企图，这些蜜罐模仿了Ivanti Connect安全设备.

Mitigation guidance

Important: 自以下信息最初发布以来，Ivanti已经发布了关于攻击者工件和受影响设备恢复步骤的额外指导. Customers should refer to Ivanti's advisory, KB article, and recovery guidance 随着新信息的不断曝光，他们的真相来源.

• All supported versions (9.x and 22.Ivanti Connect Secure和Ivanti Policy Secure的x)版本存在CVE-2023-46805漏洞, CVE-2024-21887, CVE-2024-21893, and CVE-2024-21888.  
• Per Ivanti's communications, 截至1月31日，所有四个cve都通过可用的补丁进行了修复, 2024通过伊万蒂连接安全(版本9)的标准下载门户.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 and 22.5R1.1) and ZTA version 22.6R1.3. As of February 1, Ivanti Connect Secure version 22还提供了一个解决已知漏洞的补丁.5R2.2 and Ivanti Policy Secure 22.5R1.1.
• There is also a patch available for CVE-2024-22024 as of February 8, 2024.
• Ivanti has recovery steps for impacted appliances here.
• 可以找到更新的补丁时间表和其他信息 here.

Ivanti Connect Secure, Ivanti Policy Secure, 和Ivanti Neurons的客户应该使用供应商提供的补丁 on an emergency basis, 重置他们的设备，并调查他们的环境是否有被入侵的迹象. Ivanti建议使用不受支持的产品版本的客户在应用解决方案之前升级到受支持的版本.

Note: 攻击者已经观察到清除日志和/或禁用目标设备上的日志记录. Administrators should ensure logging is enabled. Ivanti has a built-in integrity checker tool (ICT)，验证Ivanti Connect Secure和Ivanti Policy Secure设备上的图像，并查找修改的文件. Ivanti is advising customers to use the external 版本的此工具来检查ICS/IPS映像的完整性, 因为伊万蒂已经看到对手“试图操纵”内部完整性检查工具.

Note: Per Ivanti’s advisory and KB article for CVE-2023-46805 and CVE-2024-21887, “ZTA网关的Ivanti神经元不能在生产中被利用. 如果生成了此解决方案的网关，并且未连接到ZTA控制器, 然后，在生成的网关上存在被利用的风险. Ivanti Neurons for Secure Access is not vulnerable to these CVEs; however, 被管理的网关独立存在这些cve漏洞.”

Rapid7 customers

InsightVM和expose客户可以在1月11日的内容发布中评估他们对Ivanti Pulse Connect Secure CVE-2023-46805和cve - 1024 -21887的暴露情况，并进行未经身份验证的漏洞检查. 截至1月12日(内容版本1)，Ivanti Policy Secure中的CVE-2023-46805和CVE-2024-21887可进行未经身份验证的漏洞检查.1.3069).

Update February 1: InsightVM和expose客户可以在2月1日的内容发布(内容版本1)中使用未经身份验证的漏洞检查来评估其暴露于Ivanti Connect Secure中的CVE-2024-21888和CVE-2024-21893的风险.1.3083). Ivanti政策安全的进一步更新和Ivanti神经元对ZTA的覆盖范围正在调查中，可能在未来可用.

Update February 12: InsightVM和expose客户将能够通过2月12日发布的内容版本中的漏洞检查来评估他们在Ivanti Connect Secure中的CVE-2024-22024暴露情况.

通过Rapid7扩展的检测规则库，insighttidr和Managed Detection and Response客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent，以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表，并会对与此零日漏洞相关的利用后行为发出警报:

• 可疑Web请求-可能的Ivanti漏洞利用活动
• 可疑Web请求-可能的Ivanti CVE-2023-46805利用

Blog Updates

January 12, 2024: Updated to include a reference to Mandiant's blog on the attack, which includes indicators of compromise.

January 16, 2024: 更新注意到，Rapid7研究已经复制了漏洞链，并有一个 full technical analysis available in AttackerKB.

January 23, 2024: 更新，反映Rapid7实验室已经检测到试图利用Ivanti连接安全.

January 24, 2024: 更新了Ivanti关于恢复受损设备的额外指导. Customers should refer to Ivanti's advisory, KB article, and recovery guidance 随着新信息的不断曝光，他们的真相来源.

January 30, 2024: Updated with note on patch delays from Ivanti.

January 31, 2024: Updated with new CVEs 由Ivanti披露的(CVE-2024-21893和CVE-2024-21888)，新 Mandiant analysis, new CISA bulletin information, and new vendor-supplied patch information. 更新了insighttidr和Rapid7 MDR客户的检测信息. 更新到InsightVM覆盖开发团队正在调查新的cve.

February 1, 2024: 在今天(2月1日)的内容发布(内容版本1)中，InsightVM和expose客户将能够评估他们在Ivanti Connect Secure中暴露的CVE-2024-21888和CVE-2024-21893，并进行未经身份验证的漏洞检查.1.3083).

February 2, 2024: Updated to reflect that as of February 1, Ivanti表示，针对所有已知漏洞的补丁也可用于Ivanti Connect Secure版本22.5R2.2 and Ivanti Policy Secure 22.5R1.1.

February 8, 2024: Ivanti has disclosed an additional vulnerability, CVE-2024-22024, 在Ivanti连接安全和Ivanti策略安全. According to the advisory目前，CVE-2024-22024尚未在野外被利用.

February 12, 2024: Updated to emphasize the need to factory reset devices; a vulnerability check for Ivanti Connect Secure CVE-2024-22024 will be available in today's InsightVM and Nexpose content release.

March 1, 2024: In an advisory released on February 29th, CISA, in conjunction with the FBI, NCSC-UK, and other trusted entities, 强烈敦促各组织考虑继续使用Ivanti Connect Secure和Ivanti Policy Secure网关的相关风险.

该报告指出，Ivanti的内部完整性检查器“不足以检测到威胁，网络威胁行为者可能能够获得根级持久性，尽管发布了出厂重置。.而且，“对于网络防御者来说，最安全的做法是假设一个老练的威胁行为者可能会在一个已被重置并休眠任意时间的设备上部署rootkit级别的持久性。."

CISA的建议适用于Ivanti Connect Secure和Ivanti Policy Secure网关的所有使用, 不管之前采取了什么措施来缓解或修复CVE-2023-46805的威胁, CVE-2024-21887 and CVE-2024-21893.