Ivanti VPN 漏洞：您需要知道的事

Unit 42 事件回應案例

CVE-2023-46805 和 CVE-2024-21887 Ivanti 漏洞的攻擊活動分三波進行。

第一波至少從 2023 年 12 月的第二個星期持續到 2024 年 1 月 10 日，也就是 Volexity 發表第一篇相關部落格文章的時間。此活動中的攻擊是有針對性的，並具有多個自訂網頁軀殼和橫向移動。Unit 42 應對的威脅活動可能與這波攻擊活動相符。

與 Volexity 的部落格文章中討論的活動類似，我們觀察到威脅行為者執行下列活動：

• 外洩前使用 7-Zip 歸檔檔案，包括 NTDS.dit
• 使用 Windows 任務管理器 (Taskmgr.exe) 建立 LSASS 程序的記憶體轉儲
• 透過遠端桌面通訊協定 (RDP) 橫向移動
• 刪除日誌

第二波在 Volexity 於 2024 年 1 月 10 日發表第一篇部落格文章後開始。這一波的特點是由目標性攻擊轉變為由更多威脅行為者進行大規模利用。

Unit 42 回應了可能與這一波活動相對應的威脅活動案例。在這些案件中，威脅活動都是一致的。

威脅行為者傾倒了包含模式、設定、名稱以及網路內各種使用者和帳戶憑證的組態資料，但沒有像第一波發生的事件一樣進行任何橫向移動。

Unit 42 認為，此活動背後的威脅行為者可能已將重點轉移到更廣泛的利用，以便在組織開始修補程式和應用緩解指引之前，將影響發揮到最大。

第三波早在 2024 年 1 月 16 日就開始了，當時概念驗證 (PoC) 漏洞已公開可用。這些漏洞的釋出，導致各種動機和複雜程度不同的行動者大規模利用，包括廣泛部署加密貨幣挖礦機和各種遠端監控與管理 (RMM) 軟體的犯罪實體。

Unit 42 已回應可能與此波相對應的威脅活動，該威脅行為者使用公開的 PoC 漏洞。我們目前正在支援客戶調查這些事件。

全面的 Ivanati 防禦策略

這些漏洞的發現，突顯了警覺性安全措施和快速回應能力的必要性。這突顯了被廣泛使用的虛擬私人網路 (VPN) 技術中，被老練的威脅行為者所利用的重要安全性漏洞。這些漏洞允許未經授權的存取和控制，對組織網路構成重大風險。

以下策略對於維持強大的安全勢態以對抗不斷演化的網路威脅、確保敏感資訊和關鍵基礎設施受到保護至關重要：

• 清點您的資產：為所有網路設備、系統和軟體編製目錄。
• 選擇正確的工具：利用最適合您 IT 環境複雜性和大規模的弱點掃描工具。
• 掃描漏洞：定期執行掃描，找出系統中的安全弱點。
• 分析結果：仔細檢閱掃描結果，依據嚴重性和潛在影響排出弱點的優先順序。
• 進行補救和修補：套用必要的修補程式或變通技術，以減少已發現的弱點。
• 重複並檢查：監控並重新評估您的安全勢態，以適應新的威脅。

請務必查看我們先進的 Ivanti 新興威脅報告：

採用全面的網路安全策略

採取重要措施保護網路免受潛在的網路威脅是非常重要的。一些保護網路的方法包括隱藏應用程式和 VPN，使其不被公共網路看到，以避免受到攻擊者的攻擊。您也應該徹底檢查所有入站和出站流量，以解除惡意軟體和零時差漏洞等威脅。

在網路中應用最少權限原則是另一個重要步驟。這可確保使用者只能存取其角色所需的資源。您也應該使用強大的多重要素驗證來有效驗證使用者身分，以加強存取控制。

此外，也建議將使用者直接連接到應用程式，而非更廣泛的網路。這可將安全事故的潛在損害降至最低。利用不斷地監控來識別並減緩受到危害的內幕人士或外部威脅行為者所造成的威脅也是非常重要的。

為了保護敏感性資料，在傳輸過程中和靜止狀態下都應該勤加監控和加密。運用詐欺技術和主動威脅搜補，可協助在威脅造成傷害之前識別並解除威脅。

在組織中培養安全意識文化也可以抵禦網路釣魚等常見媒介。透過評估和模擬定期評估您的安全措施，有助於找出並處理漏洞。

Palo Alto Networks 零信任方法

為了因應這些威脅，Palo Alto Networks 強調零信任網路架構的關鍵性，提供安全、分割的應用程式存取，而不會讓應用程式暴露於直接的網路威脅。我們的解決方案，包括先進的威脅防護與分割政策， 可將攻擊面降到最低、防止未經授權的存取， 並即時偵測 威脅與回應。

企業安全專業人員有關 Ivanti 漏洞的 10 個常見問題與解答