Ivanti Connect Secure VPN 漏洞导致多家机构受影响

关键要点

Ivanti 报告称，近 20 家组织因漏洞的攻击而受到影响，相关漏洞编号为 CVE202346805 和 CVE202421887。这些漏洞被跟踪的疑似国家级威胁组 UNC5221 利用，已部署多种定制恶意软件。恶意软件包括具有文件上传和下载功能的 ZIPLINE 后门，以及其他几种恶意工具。Mandiant 报告显示这些攻击并非偶然，UNC5221 旨在长期渗透重点目标。

根据 Hacker News 的报道，Ivanti 表示，近 20 家机构使用的易受攻击的 Ivanti Connect Secure VPN 设备已遭攻击，利用了被称为 CVE202346805 和 CVE202421887 的零日漏洞。这一数据较最初披露的不到 10 家受影响实体有所增加，而受影响组织的数量预计仍将进一步增加。

漏洞利用与攻击背景

Mandiant 提到，这两个漏洞被疑似国家网络威胁组织 UNC5221 利用，帮助其自上月初以来部署多达五种不同的定制恶意软件。根据 Mandiant 报告，UNC5221 使用这些漏洞分发的恶意软件包括：

恶意软件名称功能描述ZIPLINE 后门具有文件上传和下载及代理服务器创建能力WARPWIRE凭证收集工具THINSPOOLShell 脚本引导程序LIGHTWIREWeb shell

这些发现是在 Volexity 报告 后得出的，该报指出将 Ivanti 漏洞的利用与中国网络间谍活动 UTA0178 相关联。Mandiant 表示：“这些攻击并非机会主义行为，UNC5221 有意在修补发布后保持对其攻击的高优先级目标的渗透。”

这一系列事件强调了网络安全的重要性，组织需加强对软件更新和漏洞管理的重视，以降低被攻击的风险。

小火箭shadowsock