Ivanti 是一家专门从事 IT 管理和网络安全解决方案的公司,它表示已经发现两个缺陷在其 VPN 服务中。第一个漏洞“允许未经身份验证的攻击者远程执行任意代码”法国政府计算机攻击监测、警报和响应中心警告说,转发 Ivanti 的警报。
据这家位于犹他州的公司称,此次漏洞是一个严重的缓冲区溢出错误,当程序向内存空间写入的数据多于其设计容纳的数据时,就会出现这种漏洞。它被认为是至关重要的。
三重病毒来袭
Ivanti 承认,此次违规行为是被网络犯罪分子利用以传播恶意软件。然而,伊万蒂保证,受害者人数仍然有限。根据谷歌子公司 Mandiant 研究人员的调查,该漏洞自 12 月中旬以来已导致 Spawn、Dryhook 和 Phasejam 三种病毒得以传播。
目前,Mandiant 无法将漏洞利用与任何特定的黑客团伙联系起来。尽管如此,怀疑还是落在了中国资助的两个网络间谍组织身上。曼迪安特强调“可能有多个参与者负责创建和部署» 不同病毒家族。
“攻击者安装后门来维持对受感染系统的访问。尽管系统更新,其中一些门可能仍然存在,因此 Ivanti 建议受影响的客户执行重置 »”,Mandiant 在发给 01Net 的新闻稿中解释道。
数据盗窃
海盗的目标似乎是窃取数据库存储在设备上,通常包含 VPN 会话、会话 cookie、API 密钥、证书或其他识别数据等敏感信息。用户名和密码也会在身份验证过程中被拦截和泄露。
伊万蒂解释说,在这个过程中,他已经冲出了第二个漏洞VPN 工具中的内存损坏问题。严重性很高,需要使用身份验证,并且只允许权限升级。
Ivanti 强调,它已经部署了补丁来解决这两个漏洞。不过,对于用于 ZTA(零信任访问)网关的 Policy Secure 和 Neurons 的补丁,您必须等到 2025 年 1 月 21 日。这并不是 Ivanti Connect Secure 产品中发现的第一个缺陷。几个月前,网络安全和基础设施安全局(CISA)也被通过漏洞被黑客攻击在 Ivanti 设计的产品中。该机构忽视了用补丁更新两个系统。
来源 : 伊万蒂
