Ivanti Connect Secure 曝两大零日漏洞,已被大规模利用

news2024/12/24 21:06:39

1705459999_65a7411f4ce9a7394d904.png!small

威胁情报公司Volexity发现,影响 Ivanti 的 Connect Secure VPN 和 Policy Secure 网络访问控制 (NAC) 设备的两个零日漏洞正在被大规模利用。自1月11日开始,多个威胁组织在大范围攻击中利用CVE-2023-46805身份验证绕过和CVE-2024-21887命令注入漏洞。

Volexity警告称:可能受到 Ivanti Connect Secure 零日漏洞侵害的企业遍布全球。这些受害企业的规模相差悬殊,既有小型企业,也有全球知名的大型企业,其中包括多个行业垂直领域的财富500强企业。

攻击者使用 GIFTEDVISITOR webshell 变体对目标系统进行了后门攻击,在数百台设备上发现了该变体。

上周日(1 月 14 日),Volexity 发现有 1700 多台 ICS VPN 设备被 GIFTEDVISITOR webshell 入侵。这些设备对受害者进行无差别攻击。Volexity 迄今发现的受害者名单包括世界各地的政府和军事部门、国家电信公司、国防承包商、技术公司、银行、金融和会计机构、全球咨询公司以及航天、航空和工程公司。

虽然 Ivanti 尚未发布针对这两个漏洞的补丁,但他们建议管理员在其网络上的所有 ICS VPN 上应用供应商提供的缓解措施,并同时运行 Ivanti 的 "完整性检查工具"。并在发现有出现漏洞的迹象时将 ICS VPN 设备上的所有数据(包括密码和任何机密)视为已损坏状态,具体详见 Volexity 上一篇博文的 "应对漏洞 "部分。

威胁监测服务 Shadowserver 目前跟踪了超过 16800 台暴露在网上的 ICS VPN 设备,其中近 5000 台在美国(Shodan 还发现超过 15000 台暴露在互联网上的 Ivanti ICS VPN)。

1705460688_65a743d000a1cfa6ee0ff.png!small

ICS VPN 设备在网上曝光(Shadowserver)

Ivanti 上周表示,攻击者在成功连锁这两个零日漏洞后,可以在所有支持版本的 ICS VPN 和 IPS 设备上运行任意命令。

Mandiant 上周五(1月12日)透露其安全专家发现被入侵客户的系统中部署了五种定制恶意软件,其最终目的是投放 webshell、附加恶意有效载荷和窃取凭证。攻击中使用的工具包括:

  • Zipline 被动后门:可拦截网络流量的定制恶意软件,支持上传/下载操作,创建反向外壳、代理服务器和服务器隧道
  • Thinspool Dropper:自定义 Shell 脚本驱动器,可将 Lightwire Web Shell 写入 Ivanti CS,确保持久性
  • Wirefire 网络外壳:基于 Python 的自定义网络外壳,支持未经验证的任意命令执行和有效载荷投放。
  • Lightwire 网络外壳:嵌入到合法文件中的定制 Perl 网络外壳,可执行任意命令
  • Warpwire 收集器:基于 JavaScript 的定制工具,用于在登录时收集凭证,并将其发送到命令和控制 (C2) 服务器
  • PySoxy 隧道器:便于网络流量隧道的隐蔽性
  • BusyBox:多调用二进制文件,结合了许多用于各种系统任务的 Unix 实用程序
  • Thinspool 实用程序 (sessionserver.pl):用于将文件系统重新挂载为 "读/写",以便部署恶意软件

其中ZIPLINE需要特别引起注意 ,它是一个被动后门,可以拦截传入的网络流量,并提供文件传输、反向外壳、隧道和代理功能。

去年 4 月开始,Ivanti 的端点管理器移动版(EPMM)中的另外两个零日漏洞(CVE-2023-35078 和 CVE-2023-35081)被标记为被积极利用,后来有报道称这两个零日漏洞被黑客组织用于入侵多个挪威政府组织。

在那之后的一个月,黑客利用了 Ivanti Sentry 软件中的第三个零日漏洞(CVE-2023-38035),并在有限的定向攻击中绕过易受攻击设备上的 API 身份验证。

参考来源:Ivanti Connect Secure zero-days now under mass exploitation (bleepingcomputer.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1394988.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Joern环境的安装(Windows版)

Joern环境的安装(Windows版) 网上很少有关于Windows下安装Joern的教程,而我最初使用也是装在Ubuntu虚拟机中,这样使用很占内存,影响体验感。在Windows下使用源码安装Joern也是非常简单的过程: 提前需要的本地环境: …

YOLOv5全网独家首发:DCNv4更快收敛、更高速度、更高性能,效果秒杀DCNv3、DCNv2等 ,助力检测实现暴力涨点

💡💡💡本文独家改进:DCNv4更快收敛、更高速度、更高性能,完美和YOLOv5结合,助力涨点 DCNv4优势:(1) 去除空间聚合中的softmax归一化,以增强其动态性和表达能力;(2) 优化存储器访问以最小化冗余操作以加速。这些改进显著加快了收敛速度,并大幅提高了处理速度,DCN…

vue:处理base64格式文件pdf、图片预览

一、需求:后端返回是base64数据,需要前端处理来展示文件。 二、实现方法: 解释一下这段代码的功能: )preview(item) 是一个函数,接受一个参数 item,其中包含了文件的相关信息。 )首…

SpringBoot的自定义starter和SpringBoot Starter机制,以及综合案例和通用模块-短信发送,基于AOP技术实现日志切面

目录 1.SpringBoot Starter机制 1.1.什么是SpringBoot Starter 1.2.为什么要使用SpringBoot Starter 1.3.应用场景 1.4.自动加载核心注解说明 2.综合案例 2.1.命名规范 2.2.通用模块-短信发送 2.2.1.创建配置类Properties 2.2.2.编写短信业务功能 2.2.3.创建自动配置…

基于Python+django影片数据爬取与数据分析设计与实现

目录 一、 前言介绍: 二 、功能设计: 三、功能实现: 系统登录实现 管理员实现 用户模块实现 四、库表设计: 五、关键代码: 六、论文参考: 七、其他案例: 八、源码获取: 一…

各省快递量数据, shp+excel,2001-2021年,已实现数据可视化

基本信息. 数据名称: 各省快递量数据 数据格式: shpexcel 数据时间:2001-2021年 数据几何类型: 面 数据坐标系: WGS84 数据来源:网络公开数据 数据字段: 序号字段名称字段说明1a_2001快递量/万件_2001年2a_2002快递量/万件_2002年3…

FairyGUI Day 1 导入FairyGUI

FairyGUI Unity3d引擎版本:Uinty3d 20233.2.3f1 1、从资产商店中将FairyGUI购入我的资产中,目前是免费的。 2、从我的资产中将FairyGUI导入到当前项目中。 3、我遇到的问题,我的Assets下有两个文件夹分别是Resources和Scenes,导…

AEB滤镜再破碎,安全焦虑「解不开」?

不久前,理想L7重大交通事故,再次引发了公众对AEB的热议。 根据理想汽车公布的事故视频显示,碰撞发生前3秒,车速在178km/h时驾驶员采取了制动措施,但车速大幅超出AEB(自动紧急刹车系统)的工作范…

【笔记】认识电机

认识电机 电机一些概念永磁同步电机电机的效率转矩永磁体定子和转子励磁电磁感应定律 AC Optimal Power Flow功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居…

esp32-idf eclipse 定时器的使用demo

esp32定时器的使用demo 1、介绍 ESP32芯片包含两个硬件定时器组。每组有两个通用硬件定时器。它们都是基于16位预分频器和64位自动重载功能的向上向下计数器的64位通用定时器。 2、API接口函数 创建定时器函数: esp_timer_create(); esp_err_t esp_timer_create …

P4学习(四)实验一:Basic Forwarding

目录 一.前置知识二.实验过程记录1.找到实验文件2.拓扑图3.明确实验内容4.实验初体验 三. 编写解决方案1.Parse部分1.1 Code1.2 知识点解析 2.Ingress部分2.1 Code2.2 知识点解析 3.Deparse部分3.1 Code3.2 知识点 四.实验完成测试 一.前置知识 Linux基础命令(vim)V!Model的架…

大模型多卡训练原理

背景知识 深度学习涉及大量矩阵运算,而矩阵运算可以并行计算。 一、数据并行 每张卡加载不同的数据,将计算结果合并 存在问题:每个显卡都加载了模型,浪费了一定空间 二、模型并行:适合模型特别大的情况 1、串行计算…

Java Springboot SSE如何判断客户端能否正常接收消息

目录 背景解决方案思路代码代码解释 Java反射知识点补充 背景 当新建一个 emitter 对象的时候, 它的默认超时时间是 30s. SseEmitter emitter new SseEmitter(); 但是很多情况下, 默认30s的时间太短, 需要把 emitter 对象的超时时间设置成不超时, 也就是永久有效. private …

RHEL8 Samba服务器详细配置用户模式

任务: 配置server01为samba服务器,samba服务器的/companydata/sales为共享目录,共享名为sales,里面创建测试文件test_share.tar,创建用户组sales,创建组内用户sale1,要求配置用户模式访问&#…

py爬虫入门笔记(request.get的使用)

文章目录 Day11. 了解浏览器开发者工具2. Get请求http://baidu.com3. Post请求https://fanyi.baidu.com/sug4. 肯德基小作业 Day21. 正则表达式2. 使用re模块3. 爬取豆瓣电影Top250的第一页4. 爬取豆瓣电影Top250所有的250部电影信息 Day31. xpath的使用2. 认识下载照片线程池的…

【翻译】在Qt Designer中创建主窗口(Main Windows)

原文地址:https://doc.qt.io/qt-6/designer-creating-mainwindows.html Qt Designer 可用于为不同用途创建用户界面,并为每个用户界面提供不同类型的模板。主窗口模板用于创建具有菜单栏、工具栏和停靠窗口部件的应用程序窗口。 通过打开文件菜单并选择…

工程档案数字化的意义

工程档案数字化可以提高档案管理效率、节约资源成本、保护档案安全、提高档案可持续性、提升检索与利用的便捷性,促进信息共享与合作,具有重要的意义和价值。 1. 提高档案管理效率:数字化档案可以通过电子方式进行存储、检索和共享&#xff0…

企业网盘的价值:为什么企业需要它?

企业网盘因其主打的文件管理协作功能,正好符合信息时代高速发展下企业的需要,能够帮助企业集中管理文件数据,提供便捷的文件协作服务,一跃成为近两年企业服务类产品榜单中的一匹黑马。 企业网盘真的这么好用吗?企业真…

ant-desgin的table的上移、下移

文章目录 html部分函数部分 html部分 <a-table :columns"columns" :data-source"dataList" :loading"listLoading" :pagination"false"><template #bodyCell"{ column, record, index }"><template v-if&qu…

class_10:this关键字

this关键字是指向调用对象的指针 #include <iostream> #include <iostream> using namespace std;class Car{ public://成员数据string brand; //品牌int year; //年限//构造函数名与类名相同Car(string brand,int year){cout<<"构造函数中&#…