Bleepingcomputer網(wǎng)站消息，數(shù)千個(gè)Ivanti Connect Secure和Policy Secure終端仍然易受到一個(gè)多月前首次披露的多個(gè)安全漏洞的影響。目前，這些漏洞已由供應(yīng)商逐步修復(fù)。

影響終端的漏洞包括CVE-2024-22024、CVE-2023-46805、CVE-2024-21887、CVE-2024-21893和CVE-2024-21888。它們的嚴(yán)重程度從高到關(guān)鍵不等，涉及的問(wèn)題包括身份驗(yàn)證繞過(guò)、服務(wù)器端請(qǐng)求偽造、任意命令執(zhí)行和命令注入問(wèn)題。在這些漏洞被威脅行為者大規(guī)模利用之前，已有報(bào)告稱一些漏洞被國(guó)家支持的威脅行為者所利用。

上周，CVE-2024-22024漏洞首次披露，該漏洞是Ivanti Connect Secure、Policy Secure和ZTA網(wǎng)關(guān)的SAML組件中的一個(gè)XXE漏洞，它允許威脅行為者在未授權(quán)的情況下訪問(wèn)受限資源。

目前，尚未確認(rèn)有活躍的利用漏洞情況，供應(yīng)商建議如果沒(méi)有補(bǔ)丁可用，那么立即應(yīng)用現(xiàn)有的安全更新或緩解措施至關(guān)重要。

Akamai發(fā)布的報(bào)告中提到，已經(jīng)針對(duì)這一特定漏洞發(fā)起掃描，2024年2月11日有24萬(wàn)個(gè)請(qǐng)求和80個(gè)IP嘗試發(fā)送有效載荷。

威脅監(jiān)測(cè)服務(wù)公司Shadowserver報(bào)告稱，其互聯(lián)網(wǎng)掃描顯示有3900多個(gè)Ivanti終端易受到CVE-2024-22024漏洞攻擊，其中大多數(shù)（1262個(gè)）終端位于美國(guó)。該公司觀察到大約有1000個(gè)Ivanti終端仍然易受CVE-2024-21887漏洞的攻擊，它允許經(jīng)過(guò)認(rèn)證的管理員通過(guò)發(fā)送特制的請(qǐng)求在易受攻擊的設(shè)備上執(zhí)行任意命令。

2024年1月10日，該漏洞與CVE-2023-46805作為零日漏洞被首次披露，后者是一個(gè)認(rèn)證繞過(guò)問(wèn)題。

Macnica的安全研究員Yutaka Sejiyama向BleepingComputer分享了他的Shodan掃描結(jié)果，報(bào)告顯示截至2024年2月15日00:15 UTC，共有13636臺(tái)Ivanti服務(wù)器還未應(yīng)用針對(duì)CVE-2024-21893、CVE-2024-21888、CVE-2023-46805和CVE-2024-21887的補(bǔ)丁。2024年1月31日，Ivanti針對(duì)這4個(gè)漏洞發(fā)布了安全更新版本。

根據(jù)研究員的說(shuō)法，共有24239臺(tái)Ivanti服務(wù)器暴露在互聯(lián)網(wǎng)上，這意味著超過(guò)一半的服務(wù)器依然沒(méi)有打補(bǔ)丁。

關(guān)于CVE-2024-22024，該漏洞在2024年2月8日被披露并得到修復(fù)，Sejiyama的研究顯示，截至2月15日，全球有77.3%的服務(wù)器已經(jīng)打上了補(bǔ)丁，但仍有5496臺(tái)服務(wù)器暴露于這個(gè)危險(xiǎn)的未授權(quán)訪問(wèn)漏洞之下。

不幸的是，影響Ivanti產(chǎn)品的這些漏洞在短時(shí)間內(nèi)被連續(xù)披露，管理員幾乎沒(méi)有時(shí)間準(zhǔn)備并應(yīng)用這些補(bǔ)丁。這不僅增加了修復(fù)工作的復(fù)雜性，還提高了Ivanti系統(tǒng)因長(zhǎng)時(shí)間處于脆弱狀態(tài)而面臨的風(fēng)險(xiǎn)，為威脅行為者提供了大量潛在受害者的清單。