威脅情報(bào)公司Volexity發(fā)現(xiàn)，影響 Ivanti 的 Connect Secure VPN 和 Policy Secure 網(wǎng)絡(luò)訪問控制 (NAC) 設(shè)備的兩個(gè)零日漏洞正在被大規(guī)模利用。自1月11日開始，多個(gè)威脅組織在大范圍攻擊中利用CVE-2023-46805身份驗(yàn)證繞過和CVE-2024-21887命令注入漏洞。

Volexity警告稱：可能受到 Ivanti Connect Secure 零日漏洞侵害的企業(yè)遍布全球。這些受害企業(yè)的規(guī)模相差懸殊，既有小型企業(yè)，也有全球知名的大型企業(yè)，其中包括多個(gè)行業(yè)垂直領(lǐng)域的財(cái)富500強(qiáng)企業(yè)。

攻擊者使用 GIFTEDVISITOR webshell 變體對(duì)目標(biāo)系統(tǒng)進(jìn)行了后門攻擊，在數(shù)百臺(tái)設(shè)備上發(fā)現(xiàn)了該變體。

上周日（1 月 14 日），Volexity 發(fā)現(xiàn)有 1700 多臺(tái) ICS VPN 設(shè)備被 GIFTEDVISITOR webshell 入侵。這些設(shè)備對(duì)受害者進(jìn)行無差別攻擊。Volexity 迄今發(fā)現(xiàn)的受害者名單包括世界各地的政府和軍事部門、國(guó)家電信公司、國(guó)防承包商、技術(shù)公司、銀行、金融和會(huì)計(jì)機(jī)構(gòu)、全球咨詢公司以及航天、航空和工程公司。

雖然 Ivanti 尚未發(fā)布針對(duì)這兩個(gè)漏洞的補(bǔ)丁，但他們建議管理員在其網(wǎng)絡(luò)上的所有 ICS VPN 上應(yīng)用供應(yīng)商提供的緩解措施，并同時(shí)運(yùn)行 Ivanti 的 "完整性檢查工具"。并在發(fā)現(xiàn)有出現(xiàn)漏洞的跡象時(shí)將 ICS VPN 設(shè)備上的所有數(shù)據(jù)（包括密碼和任何機(jī)密）視為已損壞狀態(tài)，具體詳見 Volexity 上一篇博文的 "應(yīng)對(duì)漏洞 "部分。

威脅監(jiān)測(cè)服務(wù) Shadowserver 目前跟蹤了超過 16800 臺(tái)暴露在網(wǎng)上的 ICS VPN 設(shè)備，其中近 5000 臺(tái)在美國(guó)（Shodan 還發(fā)現(xiàn)超過 15000 臺(tái)暴露在互聯(lián)網(wǎng)上的 Ivanti ICS VPN）。

ICS VPN 設(shè)備在網(wǎng)上曝光（Shadowserver）

Ivanti 上周表示，攻擊者在成功連鎖這兩個(gè)零日漏洞后，可以在所有支持版本的 ICS VPN 和 IPS 設(shè)備上運(yùn)行任意命令。

Mandiant 上周五（1月12日）透露其安全專家發(fā)現(xiàn)被入侵客戶的系統(tǒng)中部署了五種定制惡意軟件，其最終目的是投放 webshell、附加惡意有效載荷和竊取憑證。攻擊中使用的工具包括：

Zipline 被動(dòng)后門：可攔截網(wǎng)絡(luò)流量的定制惡意軟件，支持上傳/下載操作，創(chuàng)建反向外殼、代理服務(wù)器和服務(wù)器隧道

Thinspool Dropper：自定義 Shell 腳本驅(qū)動(dòng)器，可將 Lightwire Web Shell 寫入 Ivanti CS，確保持久性

Wirefire 網(wǎng)絡(luò)外殼：基于 Python 的自定義網(wǎng)絡(luò)外殼，支持未經(jīng)驗(yàn)證的任意命令執(zhí)行和有效載荷投放。

Lightwire 網(wǎng)絡(luò)外殼：嵌入到合法文件中的定制 Perl 網(wǎng)絡(luò)外殼，可執(zhí)行任意命令

Warpwire 收集器：基于 JavaScript 的定制工具，用于在登錄時(shí)收集憑證，并將其發(fā)送到命令和控制 (C2) 服務(wù)器

PySoxy 隧道器：便于網(wǎng)絡(luò)流量隧道的隱蔽性

BusyBox：多調(diào)用二進(jìn)制文件，結(jié)合了許多用于各種系統(tǒng)任務(wù)的 Unix 實(shí)用程序

Thinspool 實(shí)用程序 (sessionserver.pl)：用于將文件系統(tǒng)重新掛載為 "讀/寫"，以便部署惡意軟件

其中ZIPLINE需要特別引起注意 ，它是一個(gè)被動(dòng)后門，可以攔截傳入的網(wǎng)絡(luò)流量，并提供文件傳輸、反向外殼、隧道和代理功能。

去年 4 月開始，Ivanti 的端點(diǎn)管理器移動(dòng)版（EPMM）中的另外兩個(gè)零日漏洞（CVE-2023-35078 和 CVE-2023-35081）被標(biāo)記為被積極利用，后來有報(bào)道稱這兩個(gè)零日漏洞被黑客組織用于入侵多個(gè)挪威政府組織。

在那之后的一個(gè)月，黑客利用了 Ivanti Sentry 軟件中的第三個(gè)零日漏洞（CVE-2023-38035），并在有限的定向攻擊中繞過易受攻擊設(shè)備上的 API 身份驗(yàn)證。