政府支援的駭客利用新的 Ivanti VPN 零日漏洞 — 修補程式尚未推出
背景描述
美國軟體巨頭 Ivanti 已確認駭客正在利用兩個影響其廣泛使用的企業 VPN 裝置的關鍵性漏洞,但表示修補程式要到月底才會推出。Ivanti 表示這兩個漏洞(追蹤編號為 CVE-2023-46805 和 CVE-2024-21887)發現於其 Ivanti Connect Secure 軟體中。Ivanti Connect Secure 是一個遠端存取 VPN 解決方案,可讓遠端和移動使用者透過網際網路存取企業資源。
駭客攻擊情況
Ivanti 表示當前只有不到 10 個客戶受到「零日」漏洞的影響,這被描述為 Ivanti 在惡意利用這些漏洞之前完全沒有時間修復這些缺陷。其中一個客戶同時也是網路安全公司 Volexity 的客戶,該公司表示在 12 月的第二週,在客戶的網路上發現了可疑活動,發現駭客已利用 Ivanti Connect Secure 的兩個漏洞進行身份認證遠端程式碼執行,允許駭客「窺探配置資料、修改現有檔案、下載遠端檔案,並從 ICS VPN 裝置進行反向隧道存取」。Volexity 表示他們有證據表明客戶的 VPN 裝置可能早在 12 月 3 日就已經被入侵,並將這次攻擊與一個由中國支援的駭客組織 UTA0178 聯絡在一起。
專家意見
Ivanti 表示這兩個漏洞的修補程式將從 1 月 22 日的週開始分批次推出,並持續到 2 月中旬。專家 Kevin Beaumont 指出可能會有更多受害者,他在 Mastodon 上發布的掃描結果顯示全球約 15,000 個受影響的 Ivanti 裝置暴露在網際網路上。
公司回應和專家建議
當 TechCrunch 詢問為何修補程式沒有立即提供時,Ivanti 拒絕置評。同樣地,Ivanti 也拒絕表示是否知曉由於這些野外攻擊而發生的資料外洩,或者是否已歸咎於任何特定的威脅行為者。Ivanti 敦促潛在受影響的組織優先遵循其緩解指南,美國網路安全域性 CISA 也發布了一份建議,敦促 Ivanti Connect Secure 立即緩解這兩個漏洞。然而正如 Volexity 所指出的那樣,應用這些緩解措施並不會解決過去的犧牲。
社論
這次 Ivanti VPN 零日漏洞的問題引發了人們對企業網路安全的關注。隨著科技的發展,網路攻擊已經不再是單獨的一個企業的問題,而是我們整個社會和經濟體系所面臨的嚴峻挑戰。政府應該加大對這些攻擊的打擊力度,同時企業也應該加固自身的網路安全措施,不僅僅要關注技術漏洞的修補,更要加固員工的安全意識和建立全面的緊急應變計畫。
建議
對於使用 Ivanti Connect Secure 的組織,應該立即按照 Ivanti 的緩解指南採取行動,並儘快安裝修補程式一旦有更新。同時組織也應增強員工的網路安全意識,定期進行安全培訓,以減少受到類似攻擊的風險。
延伸閱讀
- Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
- 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司,保護蘋果裝置
- 聯合健康稱駭客竊取健康資料:影響美國大部分人口
- 《Apex Legends 駭客稱遊戲開發者修補了直播主使用的漏洞》
- 烏克蘭網路警察如何對抗俄羅斯駭客
- 零日漏洞價格上漲!企業加固產品防護,駭客對抗技術升級
- 《Apex Legends 駭客自稱「只是為了好玩」竊取錦標賽遊戲》
- 寶可夢因駭客嘗試後重設一些使用者密碼
- 美國國家安全域性表示正在追蹤 Ivanti 網路攻擊,駭客瞄準美國國防領域
- 英國水務巨擘 Southern Water 稱駭客竊取數十萬客戶個人資料
