美国要求联邦机构在48小时内断开存在缺陷的Ivanti VPN连接

美国网络安全机构CISA已下令联邦机构紧急切断IvantiVPN设备的连接，因为该设备存在多个软件缺陷，存在被恶意利用的风险。在对上周首次发布的紧急指令的更新中，CISA现在要求所有联邦文职行政部门机构（名单中包括国土安全部和证券交易委员会）断开所有IvantiVPN设备的连接，因为恶意黑客目前正在利用众多零日漏洞造成"严重威胁"。

尽管联邦机构通常有数周的时间来修补漏洞，但CISA已下令在48小时内切断IvantiVPN设备的连接。

"运行受影响产品（IvantiConnectSecure或IvantiPolicySecure解决方案）的机构必须立即执行以下任务：在2024年2月2日星期五11:59PM之前，尽快从机构网络中断开所有IvantiConnectSecure和IvantiPolicySecure解决方案产品实例的连接，"周三更新的紧急指令中写道。

就在CISA发出警告的几个小时前，Ivanti声称发现了第三个正在被积极利用的零日漏洞。

安全研究人员称，自12月以来，中国国家支持的黑客已经利用了至少两个IvantiConnectSecure漏洞--被追踪为CVE-2023-46805和CVE-2024-21887。Ivanti周三表示，它又发现了两个漏洞--CVE-2024-21888和CVE-2024-21893，后者已被用于"有针对性的"攻击。CISA此前表示，"观察到一些针对联邦机构的初步攻击"。

网络安全公司Volexity的创始人StevenAdair周四介绍说，到目前为止，至少有2200台Ivanti设备被入侵。这比该公司本月早些时候追踪到的1700台增加了500台，不过Volexity指出"总数可能要高得多"。

在紧急指令的更新中，CISA告知各机构，在断开易受攻击的Ivanti产品的连接后，各机构必须继续对连接到受影响设备的任何系统进行威胁狩猎，监控可能暴露的身份验证或身份管理服务，并继续审计权限级别访问账户。

CISA还提供了恢复Ivanti设备在线运行的说明，但没有给联邦机构规定恢复Ivanti设备在线运行的最后期限。

"CISA已经有效地指导联邦机构采用一种方法来部署被认为是全新安装并打了补丁的[IvantiConnectSecure]VPN设备，作为使其重新上线的要求，"Adari说，"如果任何机构希望完全确保其设备在已知良好和可信的状态下运行，这可能是最好的行动方案。"

在CISA发出警告称恶意攻击者绕过了针对前两个漏洞发布的缓解措施之后，Ivanti本周为受这三个被积极利用的漏洞影响的部分软件版本提供了补丁。Ivanti还敦促客户在打补丁之前对设备进行出厂重置，以防止黑客在其网络上获得持久访问权限。