Ivanti VPN 漏洞与新型后门的威胁

文章重点

• Ivanti VPN 设备存在五个严重安全漏洞，已影响670多个IT基础设施。
• 发现一种新型后门（DSLog），允许攻击者进行持久的远程访问。
• 推荐采取措施进行工厂重置和完整修补。

攻击者持续利用最近披露的五个的安全漏洞。本周，研究人员表示，攻击者正在目标网络中注入一种前所未见的后门，以实现持久的远程访问，目前已对670多个IT基础设施造成了影响。

Ivanti于1月31日披露了该漏洞，该漏洞为SAML组件内的服务器请求伪造（CVE-2024-21893），同时还发布了，以解决之前披露的两个漏洞。在2月3日，OrangeCyberdefense的研究人员发现了一台被感染的新型后门的Ivanti设备，该后门被称为“DSLog”，其名称来源于设备内的一个合法日志模块。

“这台设备最初实施了XML缓解措施（API端点被阻止），但尚未进行第二次缓解（或修补），”Cyberdefense的新报告解释道。经过进一步检查，发现该后门特别“有趣”，因为它是通过基本的“API密钥”机制进行控制的。与之前针对Ivanti漏洞的攻击活动中使用的Web后门不同，DSLog有以下两点区别：1）它在联系后不会返回状态消息，因此没有已知的方法可以直接检测到它；2）DSLog每台设备使用唯一的哈希，“这个哈希不能用来联系同一后门在其他设备上的实施，”该公司解释道。

Cyberdefense在报告中警告称，Ivanti完整性检查工具并不是完全准确的妥协检测方法，但仍然是一个有用的工具。

根据报告，如果网络安全团队能够满足以下条件，他们的系统可能是安全的：

“如果这些条件都符合，那么该设备可能未受到妥协，”研究人员补充道。

这并非首次有威胁行为者，包括，在未受保护的Ivanti系统上投放创新恶意软件。建议，任何被妥协的Ivanti设备或潜在的中国威胁行为者目标应进行工厂重置并全面修补。Cyberdefense团队补充指出，有一些Ivanti设备版本没有可用的补丁，在这种情况下，建议网络安全团队应用XML缓解措施作为临时解决方案，并继续检查是否有更永久的修补程序。