Ivanti 是一家專門從事 IT 管理和網路安全解決方案的公司,它表示已經發現兩個缺陷在其 VPN 服務中。第一個漏洞“允許未經身份驗證的攻擊者遠端執行任意程式碼”法國政府電腦攻擊監測、警報和回應中心警告說,轉發 Ivanti 的警報。
據這家位於猶他州的公司稱,這次漏洞是一個嚴重的緩衝區溢位錯誤,當程式向記憶體空間寫入的資料多於其設計容納的資料時,就會出現這種漏洞。它被認為是至關重要的。
三重病毒來襲
Ivanti 承認,此次違規行為是被網路犯罪者利用以傳播惡意軟體。然而,伊万蒂保證,受害者人數仍然有限。根據Google子公司 Mandiant 研究人員的調查,該漏洞自 12 月中旬以來已導致 Spawn、Dryhook 和 Phasejam 三種病毒得以傳播。
目前,Mandiant 無法將漏洞利用與任何特定的駭客團體聯繫起來。儘管如此,懷疑還是落在了中國資助的兩個網路間諜組織身上。曼迪安特強調“可能有多個參與者負責創建和部署» 不同病毒家族。
「攻擊者安裝後門來維持對受感染系統的存取。儘管系統更新,其中一些門可能仍然存在,因此 Ivanti 建議受影響的客戶執行重置 »”,Mandiant 在發給 01Net 的新聞稿中解釋道。
資料竊取
海盜的目標似乎是竊取資料庫儲存在裝置上,通常包含 VPN 會話、會話 cookie、API 金鑰、憑證或其他識別資料等敏感資訊。使用者名稱和密碼也會在身份驗證過程中被攔截和洩露。
伊凡蒂解釋說,在這個過程中,他已經衝出了第二個漏洞VPN 工具中的記憶體損壞問題。嚴重性很高,需要使用身份驗證,並且只允許權限升級。
Ivanti 強調,它已經部署了修補程式來解決這兩個漏洞。不過,對於 ZTA(零信任存取)網關的 Policy Secure 和 Neurons 的補丁,您必須等到 2025 年 1 月 21 日。幾個月前,網路安全和基礎設施安全局(CISA)也被透過漏洞被駭客攻擊在 Ivanti 設計的產品中。該機構忽視了用補丁更新兩個系統。
來源 : 伊凡蒂
