根據 TeamT5 漏洞研究團隊觀察研究發現,Ivanti VPN 近期具有嚴重高風險零時差漏洞,恐已造成大規模駭侵事件發生,鑑此彙整相關漏洞資訊、活動狀態及緩解應對措施提供資安防護運用,相關資訊說明如下:
漏洞利用資訊
攻擊者可結合 CVE-2023-46805 & CVE-2024-21887 漏洞繞過 Ivanti Connect Secure and Policy Secure Gateways 產品的驗證機制後執行指令,進而植入惡意程式及進入公司內部場域滲透活動。
- CVE-2023-46805:可讓攻擊者繞過驗證機制及存取確認取得受限制的資訊。
- CVE-2024-21887:可讓攻擊者透過經過驗證的管理者權限注入任意指令執行。
攻擊活動狀態
據觀察 CVE-2023-46805 及 CVE-2024-21887 漏洞已經被中國 APT 攻擊族群所使用,由 Mandiant 資安公司報告指出歸類為 UNC5221 攻擊族群,Volexity 資安公司則歸類為與中國 APT 組織相關的 UTA0178 攻擊族群;另 TeamT5 依據所掌握之中繼站 (C2) 資訊關聯結果研判,有中度信心,本次攻擊事件與中國 APT 組織活動有關。
此次事件攻擊的目標則包括台灣、日本、荷蘭、韓國、印尼、馬來西亞和香港,產業範圍涵蓋製造業、資訊科技、教育、電信、建築、關鍵基礎設施、企業集團、醫院、金融、石化、房地產開發、半導體、政府、能源和零售業。
攻擊事件摘要
根據相關報告指出 CVE-2023-46805 與 CVE-2024-21887 自 2023 年 12 月以來就一直被利用[1],此外概念驗證 (Proof of Concepts, PoC) 也已公布於資安網站[2],美國網路安全和基礎設施安全局 (CISA) 也發布警訊要求所有聯邦機構在2024年2月2日之前斷開Ivanti產品的連線,避免遭到攻擊者滲透利用[3]。
另由 TeamT5 研究或是公開報告中[1][4],都一致發現攻擊者另外會進一步地部署 GIFTEDVISITOR(又名 WIREFIRE)Webshell網頁後門程式或是 IvantiJStealer infostealer 惡意程式,此外 Mandiant 也觀察到有ZIPLINE、LIGHTWIRE webshell 及 THINSPOOL 等惡意程式活動狀況。
受影響的產品
Ivanti 的 SSL VPN 系統 Connect Secure(ICS),版本 9.x 與 22.x
緩解與應變處置建議
1.官方修補資訊
Ivanti 提供 CVE-2023-46805 和 CVE-2024-21887 暫時阻擋可疑 URI 的修補資訊:
並且,由於攻擊者已有竄改 Ivanti PCS Image 的狀況,所以 TeamT5 建議可自https://forums.ivanti.com/s/article/KB44755 下載 Ivanti Integrity Checker Tools 檢查 Image 的完整性。
2. TeamT5 建議
TeamT5 於威脅情資平台 ThreatVision〈VIR 2024 1月份 H2: CVE-2024-21887〉 報告中,已掌握可能的攻擊情境、攻擊手法及惡意程式相對應的入侵指標(IOCs)並提供威脅獵殺工具:
- 基於 nuclei 的漏洞掃描偵測:可用於檢查 Ivanti 設備是否有遭駭侵狀況。
- yara rule 檢測識別工具:可用於探測是否有遭植入IvantiJStealer惡意程式。
欲獲得更多資訊,請聯絡我們,了解 ThreatVision 詳細資訊。
參考資料
Related Post
IR 服務深度介紹
2022.12.20
【資安事件處理實務】處理資安事件/網路攻擊事件所需的8種關鍵資料
incident response
IR 服務深度介紹
2023.01.08
如何與資安事件應變處理團隊合作? 能夠獲得什麼協助?
incident response