Ivanti Connect Secure 曝两大零日漏洞,已被大规模利用

1705459999_65a7411f4ce9a7394d904.png!small

威胁情报公司Volexity发现,影响 Ivanti 的 Connect Secure VPN 和 Policy Secure 网络访问控制 (NAC) 设备的两个零日漏洞正在被大规模利用。自1月11日开始,多个威胁组织在大范围攻击中利用CVE-2023-46805身份验证绕过和CVE-2024-21887命令注入漏洞。

Volexity警告称:可能受到 Ivanti Connect Secure 零日漏洞侵害的企业遍布全球。这些受害企业的规模相差悬殊,既有小型企业,也有全球知名的大型企业,其中包括多个行业垂直领域的财富500强企业。

攻击者使用 GIFTEDVISITOR webshell 变体对目标系统进行了后门攻击,在数百台设备上发现了该变体。

上周日(1 月 14 日),Volexity 发现有 1700 多台 ICS VPN 设备被 GIFTEDVISITOR webshell 入侵。这些设备对受害者进行无差别攻击。Volexity 迄今发现的受害者名单包括世界各地的政府和军事部门、国家电信公司、国防承包商、技术公司、银行、金融和会计机构、全球咨询公司以及航天、航空和工程公司。

虽然 Ivanti 尚未发布针对这两个漏洞的补丁,但他们建议管理员在其网络上的所有 ICS VPN 上应用供应商提供的缓解措施,并同时运行 Ivanti 的 "完整性检查工具"。并在发现有出现漏洞的迹象时将 ICS VPN 设备上的所有数据(包括密码和任何机密)视为已损坏状态,具体详见 Volexity 上一篇博文的 "应对漏洞 "部分。

威胁监测服务 Shadowserver 目前跟踪了超过 16800 台暴露在网上的 ICS VPN 设备,其中近 5000 台在美国(Shodan 还发现超过 15000 台暴露在互联网上的 Ivanti ICS VPN)。

1705460688_65a743d000a1cfa6ee0ff.png!small

ICS VPN 设备在网上曝光(Shadowserver)

Ivanti 上周表示,攻击者在成功连锁这两个零日漏洞后,可以在所有支持版本的 ICS VPN 和 IPS 设备上运行任意命令。

Mandiant 上周五(1月12日)透露其安全专家发现被入侵客户的系统中部署了五种定制恶意软件,其最终目的是投放 webshell、附加恶意有效载荷和窃取凭证。攻击中使用的工具包括:

  • Zipline 被动后门:可拦截网络流量的定制恶意软件,支持上传/下载操作,创建反向外壳、代理服务器和服务器隧道
  • Thinspool Dropper:自定义 Shell 脚本驱动器,可将 Lightwire Web Shell 写入 Ivanti CS,确保持久性
  • Wirefire 网络外壳:基于 Python 的自定义网络外壳,支持未经验证的任意命令执行和有效载荷投放。
  • Lightwire 网络外壳:嵌入到合法文件中的定制 Perl 网络外壳,可执行任意命令
  • Warpwire 收集器:基于 JavaScript 的定制工具,用于在登录时收集凭证,并将其发送到命令和控制 (C2) 服务器
  • PySoxy 隧道器:便于网络流量隧道的隐蔽性
  • BusyBox:多调用二进制文件,结合了许多用于各种系统任务的 Unix 实用程序
  • Thinspool 实用程序 (sessionserver.pl):用于将文件系统重新挂载为 "读/写",以便部署恶意软件

其中ZIPLINE需要特别引起注意 ,它是一个被动后门,可以拦截传入的网络流量,并提供文件传输、反向外壳、隧道和代理功能。

去年 4 月开始,Ivanti 的端点管理器移动版(EPMM)中的另外两个零日漏洞(CVE-2023-35078 和 CVE-2023-35081)被标记为被积极利用,后来有报道称这两个零日漏洞被黑客组织用于入侵多个挪威政府组织。

在那之后的一个月,黑客利用了 Ivanti Sentry 软件中的第三个零日漏洞(CVE-2023-38035),并在有限的定向攻击中绕过易受攻击设备上的 API 身份验证。

参考来源:Ivanti Connect Secure zero-days now under mass exploitation (bleepingcomputer.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/329236.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

二叉树【Java】

文章目录 一、树型结构二、二叉树2.1概念2.2两种特殊的二叉树2.3二叉树的性质2.4二叉树的遍历 三、二叉树的基本操作3.1获取树中节点的个数3.2获取叶子节点的个数3.3获取第K层节点的个数3.4获取二叉树的高度3.5检测值为value的元素是否存在 一、树型结构 树是一种非线性的数据…

界面设计工具有哪些?看看这5个!

即时设计 - 可实时协作的专业 UI 设计工具即时设计是一款支持在线协作的专业级 UI 设计工具,支持 Sketch、Figma、XD 格式导入,海量优质设计资源即拿即用。支持创建交互原型、获取设计标注,为产设研团队提供一站式协同办公体验。https://js.d…

【C/C++】C/C++编程——C/C++简介

C 语言简介 C 语言是一种通用的、高效的编程语言,广泛用于软件开发。它最初由丹尼斯里奇(Dennis Ritchie)在 1972 年于贝尔实验室开发,用于重新实现 Unix 操作系统。C 语言以其简洁、高效、灵活和跨平台的特点而闻名。 C 语言的主…

工商业屋顶光伏项目如何操作?

鹧鸪云 随着可再生能源的日益重要,工商业屋顶光伏项目已成为许多企业实现绿色能源转型的重要途径。本文将详细介绍工商业屋顶光伏项目的操作流程,帮助企业更好地实施这一项目。 一、项目前期准备 需求分析:明确企业的能源需求,评…

el-date-picker如果超过限制跨度则提示

需求:实现日期时间选择组件跨度如果超过限制天数,点击查询则提示超过限制时间 封装一个方法,传入开始和结束时间以及限制天数,如果超过则返回false //计算时间跨度是否超过限制天数isTimeSpanWithinLimit(startTime, endTime, li…

嵌入式开发--STM32G4系列片上FLASH的读写

这个玩意吧,说起来很简单,就是几行代码的事,但楞是折腾了我大半天时间才搞定。原因后面说,先看代码吧: 读操作 读操作很简单,以32位方式读取的时候是这样的: data *(__IO uint32_t *)(0x080…

Grafana(二)Grafana 两种数据源图表展示(json-api与数据库)

一. 背景介绍 在先前的博客文章中,我们搭建了Grafana ,它是一个开源的度量分析和可视化工具,可以通过将采集的数据分析、查询,然后进行可视化的展示,接下来我们重点介绍如何使用它来进行数据渲染图表展示 Docker安装G…

CSS Day10

10.1 2D位移 属性名:transform 属性值:translateX 水平方向的位移 相对于自身位置移动 translateY 垂直方向的位移 相对于自身位置移动 transform:translate(x,y); 位移和定位搭配使用: position:absolute; top:50%; left:50%; tr…

HCIP-BGP实验2

一.实验要求 全网可达! 二.实验步骤 1.配置好所有环回和路由的ip R1 [r1]dis ip int brief Interface IP Address/Mask Physical Protocol GigabitEthernet0/0/0 12.1.1.1/24 up up …

取消lodash.throttle中的默认执行完最后一次函数

我的场景: 我有一个列表,我考虑用户连续点击删除的情况,如果用户连续点击,可能会导致数据库中的数据被删除了,但是我还需要刷新数据列表才能反应到页面上,可是这时候用户又点击了同一条数据的删除按钮多次,导致发起了…

QT quick基础:组件gridview

组件gridview与android中gridview布局效果相同。 一、下面记录qt quick该组件的使用方法。 方法一: // ContactModel.qml import QtQuick 2.0ListModel {ListElement {name: "1"portrait: "icons/ic_find.png"}ListElement {name: "2&quo…

《Kali渗透基础》16. 密码攻击

kali渗透 1:身份认证2:密码破解2.1:应用场景2.2:方法简介 3:字典生成工具3.1:Crunch3.2:CUPP3.3:Cewl3.4:JTR 4:密码破解工具4.1:在线密码破解4.1…

AIOps探索 | 基于大模型构建高效的运维知识及智能问答平台(2)

前面分享了平台对运维效率提升的重要性和挑战以及基于大模型的平台建设解决方案,新来的朋友点这里,一键回看精彩原文。 基于大模型构建高效的运维知识及智能问答平台(1)https://mp.csdn.net/mp_blog/creation/editor/135223109 …

【vscode】6、调试 shell

文章目录 经常在 IDE 下使用 高级语言后,往往并不习惯 shell 编程,因为没有酷炫的界面。但现在 vscode 可以很方便的调试 shell 脚本。 配置方法如下: vscode 下载 Bash Debug 插件 mac 升级 bash 版本(因为此 vscode 插件需要 b…

腾讯云的域名使用阿里云服务器配置

因为近期云服务器到期了,之前的域名已经完成了备案不想轻易回收。于是就换了个厂商,从腾讯云换到了阿里云。但是因为两个厂商不互通。我又不想把域名转入到阿里云。所以就开启了配置之路,一路磕磕绊绊。给大家整理一份顺序,一步到…

深入解析:如何使用Java、SpringBoot、Vue.js和MySQL构建课表管理系统

✍✍计算机编程指导师 ⭐⭐个人介绍:自己非常喜欢研究技术问题!专业做Java、Python、微信小程序、安卓、大数据、爬虫、Golang、大屏等实战项目。 ⛽⛽实战项目:有源码或者技术上的问题欢迎在评论区一起讨论交流! ⚡⚡ Java实战 |…

Jira 宣布Data Center版涨价5%-15%,6年内第8次提价

近日,Atlassian官方面向合作伙伴发布2024年涨价通知: 自2024年2月15日起,旗下核心产品Jira Software、Confluence、Jira Service Management的DC版本(Data Center版本)价格提高5%-15%(涨幅与坐席数阶梯相关…

Pod控制器:

Pod控制器: Pv pvc 动态PV Pod控制器:工作负载。WordLoad,用于管理pod的中间层 ,确保pod资源符合预期的状态 预期状态: 副本数容器的重启策略镜像的拉取策略 Pod出现故障时的重启等等 Pod控制器的类型&#xff1a…

[足式机器人]Part2 Dr. CAN学习笔记-Advanced控制理论 Ch04-17 串讲

本文仅供学习使用 本文参考: B站:DR_CAN Dr. CAN学习笔记-Advanced控制理论 Ch04-17 串讲

uniapp + node.js 开发问卷调查小程序

前后端效果图 后端&#xff1a;nodejs 12.8 ; mongoDB 4.0 前端&#xff1a;uniapp 开发工具&#xff1a;HBuilderX 3.99 前端首页代码 index.vue <!-- 源码下载地址 https://pan.baidu.com/s/1AVB71AjEX06wpc4wbcV_tQ?pwdl9zp --><template><view class&q…