Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887)
Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887) 是什么?
Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887)Ivanti Connect Secure VPN 设备中可被串联利用的两个零日漏洞,2023 年底至 2024 年初被疑似中国间谍团伙利用。
2024 年 1 月,Ivanti 与 Mandiant 披露了 Ivanti Connect Secure 和 Policy Secure 中的两个零日漏洞:CVE-2023-46805(Web 组件中的身份认证绕过)与 CVE-2024-21887(管理组件中的命令注入)。两个漏洞串联后,可在设备上实现未认证的远程代码执行。Mandiant 将最初的利用归因于 UNC5221——一个疑似中国情报集群,他们部署了 Web Shell 和凭据窃取工具。CISA 等机构发布紧急指令,要求受影响的设备下线。缓解措施包括分阶段打补丁、运行完整性检查工具、对被入侵设备执行出厂重置以及轮换所有相关凭据和证书。
● 示例
- 01
UNC5221 在易受攻击的 Ivanti VPN 上部署 BUSHWALK Web Shell,并向企业网络横向移动。
- 02
美国某联邦机构在 CISA 指令后断开 Ivanti 设备,并以干净介质重建。
● 常见问题
Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887) 是什么?
Ivanti Connect Secure VPN 设备中可被串联利用的两个零日漏洞,2023 年底至 2024 年初被疑似中国间谍团伙利用。 它属于网络安全的 漏洞 分类。
Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887) 是什么意思?
Ivanti Connect Secure VPN 设备中可被串联利用的两个零日漏洞,2023 年底至 2024 年初被疑似中国间谍团伙利用。
Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887) 是如何工作的?
2024 年 1 月,Ivanti 与 Mandiant 披露了 Ivanti Connect Secure 和 Policy Secure 中的两个零日漏洞:CVE-2023-46805(Web 组件中的身份认证绕过)与 CVE-2024-21887(管理组件中的命令注入)。两个漏洞串联后,可在设备上实现未认证的远程代码执行。Mandiant 将最初的利用归因于 UNC5221——一个疑似中国情报集群,他们部署了 Web Shell 和凭据窃取工具。CISA 等机构发布紧急指令,要求受影响的设备下线。缓解措施包括分阶段打补丁、运行完整性检查工具、对被入侵设备执行出厂重置以及轮换所有相关凭据和证书。
如何防御 Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887)?
针对 Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887) 的防御通常结合技术控制与运营实践,详见上方完整定义。
Ivanti Connect Secure 零日漏洞 (CVE-2023-46805, CVE-2024-21887) 还有哪些其他名称?
常见的别称包括: Ivanti Connect Secure RCE, CVE-2024-21887 漏洞链。