Ivanti远程代码执行(RCE)漏洞影响了互联网上大约 16,500使用 Ivanti Connect Secure 和 Poly Secure的网关。该缺陷被追踪为 CVE-2024-21894,是 Ivanti Connect Secure 9.x 和 22.x 的 IPSec 组件中的严重堆溢出,可能允许未经身份验证的用户通过发送特制请求来导致拒绝服务 (DoS) 或实现 RCE。
2024 年 4 月 3 日,互联网搜索引擎 Shodan 显示有 29,000 个暴露于互联网的实例,而威胁监控服务 Shadowserver 报告显示大约有 18,000 个。
Ivanti 表示,没有发现任何客户受到主动利用的迹象,但敦促系统管理员尽快应用更新。
两天后,Shadowserver 将 CVE-2024-21894 添加到其扫描功能中,报告称约有 16,500 个实例容易受到 RCE 缺陷的影响。
其中大多数实例 (4,700) 位于美国,其中包括日本 (2,000)、英国 (1,000)、德国 (900)、法国 (900)、中国 (500)、荷兰 (500)、西班牙 (500) 、加拿大(330)、印度(330)和瑞典(320)紧随其后,暴露程度也很高。
Ivanti 产品中的高风险漏洞常常成为全球组织的漏洞点。
今年早些时候,有消息称,国家支持的威胁行为者利用了 Ivanti 产品中的多个缺陷,即 CVE-2023-46805、CVE-2024-21887、CVE-2024-22024 和 CVE-2024-21893,而这些漏洞是零日漏洞,这意味着供应商不知道这些漏洞,也没有可用的修复程序。
在此活动之后,多个黑客组织利用广泛的漏洞利用将自定义 Web Shell 部署到后门设备。
建议尚未应用 CVE-2024-21894 的可用缓解措施和修补程序的系统管理员按照供应商的说明进行操作。
Ivanti: 是一家 IT 软件公司,总部位于美国犹他州南乔丹。它生产用于 IT 安全、IT 服务管理、IT 资产管理、统一端点管理、身份管理和供应链管理的软件。它成立于 2017 年 1 月,由 LANDESK 和 HEAT Software 合并而成,后来收购了 Cherwell Software。在发生几起与其销售的 VPN 硬件相关的重大安全事件后,该公司变得更加广为人知。
Shodan:是一个搜索接入互联网的设备的搜索引擎,2009年由约翰·马瑟利发布。
Shadowserver Foundation: 是一个非营利性安全组织,负责收集和分析有关恶意互联网活动(包括恶意软件、僵尸网络和计算机欺诈)的数据,向订阅者发送每日网络报告,并与世界各地的执法机构合作进行网络犯罪调查。它成立于2004年,是一个“志愿监督组织”,它与各国政府、CSIRT、网络提供商、学术机构、金融机构、财富500强公司和最终用户保持联系,以提高互联网安全性,增强产品能力,推进研究,并拆除犯罪基础设施。Shadowserver 免费向国家 CSIRT(按地理代码)和网络所有者(根据其网络空间)提供其数据。
