Ivanti Connect Secure VPN 漏洞导致多家机构受影响

关键要点

• Ivanti 报告称，近 20 家组织因漏洞的攻击而受到影响，相关漏洞编号为 CVE-2023-46805 和 CVE-2024-21887。
• 这些漏洞被跟踪的疑似国家级威胁组 UNC5221 利用，已部署多种定制恶意软件。
• 恶意软件包括具有文件上传和下载功能的 ZIPLINE 后门，以及其他几种恶意工具。
• Mandiant 报告显示这些攻击并非偶然，UNC5221 旨在长期渗透重点目标。

根据 的报道，Ivanti 表示，近 20 家机构使用的易受攻击的 Ivanti Connect SecureVPN 设备已遭攻击，利用了被称为 CVE-2023-46805 和 CVE-2024-21887 的零日漏洞。这一数据较最初披露的不到 10家受影响实体有所增加，而受影响组织的数量预计仍将进一步增加。

漏洞利用与攻击背景

Mandiant 提到，这两个漏洞被疑似国家网络威胁组织 UNC5221 利用，帮助其自上月初以来部署多达五种不同的定制恶意软件。根据 Mandiant报告，UNC5221 使用这些漏洞分发的恶意软件包括：

这些发现是在 后得出的，该报指出将 Ivanti漏洞的利用与中国网络间谍活动 UTA0178 相关联。Mandiant 表示：“这些攻击并非机会主义行为，UNC5221有意在修补发布后保持对其攻击的高优先级目标的渗透。”

这一系列事件强调了网络安全的重要性，组织需加强对软件更新和漏洞管理的重视，以降低被攻击的风险。