Ivanti Connect Secure VPN 漏洞导致多家机构受影响
关键要点
Ivanti 报告称,近 20 家组织因漏洞的攻击而受到影响,相关漏洞编号为 CVE202346805 和 CVE202421887。这些漏洞被跟踪的疑似国家级威胁组 UNC5221 利用,已部署多种定制恶意软件。恶意软件包括具有文件上传和下载功能的 ZIPLINE 后门,以及其他几种恶意工具。Mandiant 报告显示这些攻击并非偶然,UNC5221 旨在长期渗透重点目标。根据 Hacker News 的报道,Ivanti 表示,近 20 家机构使用的易受攻击的 Ivanti Connect Secure VPN 设备已遭攻击,利用了被称为 CVE202346805 和 CVE202421887 的零日漏洞。这一数据较最初披露的不到 10 家受影响实体有所增加,而受影响组织的数量预计仍将进一步增加。
漏洞利用与攻击背景
Mandiant 提到,这两个漏洞被疑似国家网络威胁组织 UNC5221 利用,帮助其自上月初以来部署多达五种不同的定制恶意软件。根据 Mandiant 报告,UNC5221 使用这些漏洞分发的恶意软件包括:
恶意软件名称功能描述ZIPLINE 后门具有文件上传和下载及代理服务器创建能力WARPWIRE凭证收集工具THINSPOOLShell 脚本引导程序LIGHTWIREWeb shell这些发现是在 Volexity 报告 后得出的,该报指出将 Ivanti 漏洞的利用与中国网络间谍活动 UTA0178 相关联。Mandiant 表示:“这些攻击并非机会主义行为,UNC5221 有意在修补发布后保持对其攻击的高优先级目标的渗透。”
这一系列事件强调了网络安全的重要性,组织需加强对软件更新和漏洞管理的重视,以降低被攻击的风险。
