美国网络安全和基础设施安全局 (CISA)官员们表示，黑客于 2 月份通过 Ivanti 产品中的漏洞入侵了CISA 的系统。

CISA 发言人向 Recorded Future News 证实，大约一个月前，该机构“发现了表明该机构使用的 Ivanti 产品漏洞被利用的活动”。

“影响仅限于两个系统，我们立即将其下线。我们将继续对我们的系统进行升级和现代化，目前不会对运营产生影响。”该发言人表示。

“这提醒我们，任何组织都可能受到网络漏洞的影响，制定适当的事件响应计划是恢复能力的必要组成部分。”

CISA 拒绝回答一系列问题，包括谁是该事件的幕后黑手、数据是否被访问或被盗以及哪些系统被离线。Ivanti 生产组织用来管理 IT 的软件，包括安全性和系统访问。

一位了解情况的消息人士告诉 Recorded Future News，受到损害的两个系统是基础设施保护（IP）网关，其中包含有关美国基础设施相互依赖性的关键信息，以及化学品安全评估工具（CSAT），其中包含私营部门化学品安全计划。CISA 拒绝证实或否认这些系统是否已离线。

CSAT 保存了该国一些最敏感的工业信息，包括高风险化学设施的顶级屏幕工具、站点安全计划和安全漏洞评估。

CISA 表示，各组织应审查该机构 2 月 29 日发布的公告，警告威胁行为者正在利用 Ivanti Connect Secure 和 Ivanti Policy Secure 网关中先前发现的漏洞，包括 CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893。

上周，全球几家领先的网络安全机构透露，黑客已经发现了一种绕过 Ivanti 发布的工具的方法，该工具可帮助组织检查其是否受到损害。

CISA 表示，在与此活动相关的多次事件响应活动中，CISA 发现 Ivanti 的内部和之前的外部 ICT 未能检测到妥协。此外，CISA 还在实验室环境中进行了独立研究，验证 Ivanti ICT 不足以检测危害，并且网络威胁行为者尽管进行了出厂重置，仍可能能够获得根级别的持久性。”

黑客能够窃取 Ivanti 设备上的凭据，并扩大其访问范围，在某些情况下甚至会导致整个域的泄露。

他们表示：“编写组织强烈敦促所有组织在决定是否继续在企业环境中操作这些设备时，考虑对手访问和持续使用 Ivanti Connect Secure 和 Ivanti Policy Secure 网关的重大风险。”

Ivanti 的移动端点管理软件深受世界各国政府的欢迎，该公司产品中的多个漏洞使黑客能够远程访问受害者的个人身份信息，例如姓名、电话号码和其他移动设备详细信息。CISA 在去年的安全警报中表示，攻击者还可以进行其他配置更改，包括创建可以对易受攻击的系统进行进一步更改的管理帐户。

自 2020 年以来，CISA 已向组织发出国家支持的黑客利用 Ivanti 产品漏洞的警告。

身份不明的黑客于 2023 年 4 月开始利用影响 Ivanti 产品的新漏洞对挪威政府发起攻击，损害了十几个国家部门。

CISA、Ivanti 以及包括 Mandiant 和 Volexity 在内的多家安全公司在一月初对两个漏洞发出了警报，据称这些漏洞被中国国家支持的间谍黑客利用。这些漏洞的消息也促使网络犯罪分子和其他人尝试利用它们。

该机构官员此前告诉记者，“大约有 15 个机构正在使用这些产品”，但拒绝证实是否有任何机构涉及妥协。一位官员表示，使用这些工具的机构涵盖“广泛的范围……涵盖联邦使命的各个方面”。

另外还发现了两个影响相同产品的漏洞，其中一个已被确认用于攻击 Ivanti 客户，其中包括全球数百家政府机构。

这两个新漏洞促使 CISA 命令美国所有联邦民事机构在 2 月 2 日之前断开 Ivanti Connect Secure 和 Policy Secure 产品的连接。CISA 随后于 2 月 9 日更新了其公告，表示产品在修补后可以重新打开。

文章原文链接:https://www.anquanke.com/post/id/293737