【 資安警訊 】- 4月22日,資安研究機構 MITRE 證實遭遇 Ivanti零時差漏洞攻擊
發布編號 :OIS-CTI-2024-04-004
情資來源 :iThome
事件類型 :攻擊、漏洞警訊公告
內容說明 :
利用 Ivanti 一月份揭露的零時差漏洞攻擊行動再度出現!資安研究機構 MITRE 證實遭遇漏洞攻擊,並直到最近才確認遇害。
一月份 Ivanti 針對 Connect Secure 公布兩個零時差漏洞,當時通報此事的資安業者 Volexity 就表示,這些漏洞自去年底就被中國駭客用於攻擊行動,但迄今鮮少有組織出面證實受害。
但諷刺的是,傳出受害的組織,竟然都是引領全球資安防禦的機構。上個月,美國網路安全暨基礎設施安全局(CISA)傳出遭到攻擊,而到了最近,維護資安防護框架的資安研究機構 MITRE,也證實受害。
資安業者 Ivanti 自今年 1 月開始公布多個 Connect Secure、Policy Secure 零時差漏洞,且陸續被研究人員證實用於攻擊行動。繼美國網路安全暨基礎設施安全局(CISA)傳出遭遇相關攻擊,又有資安機構也證實受害。
4 月 19 日 MITRE 指出他們用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境(NERVE)」遭到外國駭客入侵,該機構察覺後即切斷駭客存取的管道,其資安團隊尋求外部數位鑑識團隊合作,對此事故進行調查。
攻擊者在今年 1 月對 MITRE 的網路進行偵察,透過 2 個 Connect Secure 漏洞存取其中一個 VPN網路系統,並挾持連線階段(Session)繞過雙因素驗證流程。接著,對方進行橫向移動,利用外流的管理者帳號挖掘他們的 VMware 虛擬化環境基礎設施。
MITRE 指出,雖然他們已經遵循最佳實作、廠商指引、政府相關建議來提升 Ivanti 系統的資安強度,但他們並未察覺攻擊者橫向移動到 VMware 基礎設施,坦承目前採取的措施仍有所不足。該公司已採取一系列的事件回應計畫,並公布事件偵測及網路強化最佳實務建議。
影響平台 :
Ivanti Connect Secure
版本 9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2、2 2.5R1.1和 22.5R2.2
Ivanti.2、2 2.5R1.1和 22.5R2.2
Ivanti 策略安全版本 22.5R1.1 和 ZTA 版本 22.6R1.3
建議措施 :
建議升級至版本 9.1R15.3、9.1R16.3、22.1R6.1、22.2R4.1、22.3R1.1 和22.4R1.1
Ivanti Policy Secureti Policy Secureti 的補丁(版本 9.1R16.3、22.4R1.1 和 22.6R1.1)
參考連結 :