Ivanti 发现 VPN 产品存在恶意代码风险

关键要点

位于犹他州的 IT 安全公司 Ivanti 更新了其针对 VPN 产品的一份安全通告，指出其 Connect-Secure 和 Policy Secure产品可能被加入恶意代码。这项恶意代码使得威胁行为者即使在防范措施实施后，仍能够获取未来的访问权限。

在 1 月 19 日发布的最新通告中，Ivanti 指出，早在 1 月 10日便发现这两个漏洞正在被积极利用，并立即提供了相关信息和减缓措施。这两个漏洞，即
和
，的 CVSS 评分分别为 8.2 和 9.1。

漏洞名称 | CVSS 评分 | 影响
—|—|—
CVE-2023-46805 | 8.2 | VPN 产品
CVE-2024-21887 | 9.1 | VPN 产品

根据，这些漏洞正被与中国有关的威胁集团 UTA0178 利用以进行网络间谍活动。Ivanti还提到，在披露漏洞信息后，观察到威胁活动急剧增加。这些威胁行为者的目标是“系统的配置和运行缓存，其中包含对 VPN 操作至关重要的秘密”，并以 Webshell 的形式插入恶意代码。

Ivanti 表示：“该 Web shell的目的是在漏洞减缓后为网关提供后门。”因此，他们建议客户撤销和更换证书，以防在实施减缓措施后进一步利用。Ivanti提供的减缓措施能够阻止这两个漏洞及当前正在被利用的 Web shell。

公司还敦促客户立即实施减缓措施，并提供额外步骤，包括备份设备的配置、执行工厂重置或升级。

在此期间，美国网络安全基础设施安全局（CISA）于 1 月 18 日将 Ivanti 产品中的另一个漏洞添加到
中。该漏洞是 Ivanti Endpoint ManagerMobile (EPMM) 和 MobileIron Core 中的一个严重认证绕过漏洞。

该漏洞于 8 月首次发布到 NIST 的国家漏洞数据库中，并于 1 月 18 日被纳入 KEV 目录，漏洞标识为
，CVSS 评分为
10。该漏洞允许“未经授权的用户在没有适当身份验证的情况下访问应用程序的受限功能或资源。”该漏洞已在 MobileIron Core 的 8月通告中披露，并已修复。