Ivanti的VPN產品Ivanti Connect Secure含有零時差漏洞，已遭駭客入侵

美國IT安全及系統管理軟體開發商Ivanti周三（1/10）警告，旗下的VPN產品Ivanti Connect Secure及網路存取控制解決方案Ivanti Policy Secure含有兩個零時差漏洞CVE-2023-46805和CVE-2024-21887，並已遭到駭客利用，目前已發表緩解措施，預計於1月22日提供暫時修補程式，再於2月19日進行正式修補。

發現這兩個安全漏洞的是美國資安業者Volexity，該公司是在去年12月的第二周偵測到客戶網路有可疑的橫向移動，進一步調查後才確定有駭客利用了Ivanti Connect Secure裝置的兩個零時差漏洞，且駭客應該早在12月3日便已入侵客戶網路。Volexity的發現僅限於Ivanti Connect Secure，而Ivanti的發布顯示相關漏洞同樣存在於Ivanti Policy Secure上。

其中，CVE-2023-46805是個可繞過身分驗證的安全漏洞，CVE-2024-21887 則是個命令注射漏洞，當駭客結合了這兩個安全漏洞時，便很容易於受駭系統上執行命令。

Volexity的調查顯示，駭客利用這兩個漏洞竊取了配置資料，竄改現有的檔案，下載遠端檔案，以及自Ivanti Connect Secure裝置反轉通道，最終使得駭客得以不受限地存取受駭網路上的系統。

雖然Volexity並未揭露受害者名稱，但相信此一攻擊事件是由中國國家級駭客所執行，並暫將該駭客組織其命名為UTA0178。

至於Ivanti則說這兩個漏洞同時影響Ivanti Connect Secure與Ivanti Policy Secure，已釋出暫時緩解措施，之後再行修補。