已更新,以纳入 CISA 2 月 29 日公告的相关信息,其中包括 CISA 实验室观察到的技术发现;这些发现尚未在真实环境中出现,也不认为会在客户实际环境中发生。CISA 和其他政府机构建议防御人员运行 Ivanti 于 2 月 27 日发布的更新版外部完整性检查工具 (ICT)。

作为我们对近期针对客户的攻击进行全面调查的一部分,Ivanti 和 Mandiant 今天发布了有关威胁行为者不断演变的战术、技术和流程 (TTP) 的调查结果。这些发现是在对影响 Ivanti Connect Secure、Policy Secure 和 ZTA 网关的此前披露漏洞进行持续分析的过程中发现的,其中包括我们正在监测的潜在持久化技术,尽管截至目前这些技术尚未在真实环境中成功部署。

重要的是,这不是新的 CVE,而且我们以及我们的安全和政府合作伙伴尚未发现任何在实施安全更新和恢复出厂设置后,威胁行为者成功实现持久化的实例。不过,鉴于此次攻击的侵略性,我们正在向客户发布相关信息,以便他们采取措施进行监测,并进一步保护自己免受这种高度复杂威胁的影响。

Ivanti 正在发布外部完整性检查工具 (ICT) 的一项新增强功能,可让客户更深入地了解其设备以及系统中存在的所有文件。增强版外部 ICT 将不再需要支持团队来解密客户的快照。当发现新增和/或修改过的文件时,外部 ICT 现在会向客户提供未加密的快照,供其自行审查。有关查看快照内容的指南,请参阅此知识库文章(需要登录),有关解读快照的参考信息,请参阅此文章。提醒一下,ICT 是在某一时间点对设备上存在文件的快照。它能够检测这些二进制文件中的变化,以突出显示入侵指标。它为我们的客户提供了一层额外的安全保障,并且始终应与持续监测工具结合使用。

Ivanti 还更新了知识库文章中针对虚拟设备的建议。这些新说明仅适用于使用虚拟设备且此前未成功完成恢复出厂设置,或未部署新构建版本并为其设备打补丁的客户。

Ivanti 建议客户采取以下措施:

  • 对于已经成功完成恢复出厂设置并为其设备打补丁的客户,唯一需要采取的措施是继续运行内部 ICT 和更新版外部 ICT,并进行持续监测;持续监测也应更新,以反映这些不断演变的技术。
  • 对于使用虚拟设备且尚未完成恢复出厂设置,或尚未部署新构建版本并为其设备打补丁的客户,Ivanti 现在建议部署 Ivanti Connect Secure 的新构建版本,而不是执行恢复出厂设置。原因是虚拟设备的恢复出厂设置并不总能成功,因此我们更新了建议说明。
  • 再次说明,如果您此前已遵循 Ivanti 的说明,并且 ICT 扫描结果干净,则无需完成任何额外的恢复出厂设置,也无需部署新构建版本(针对虚拟设备)。

客户可以在此博客以及知识库文章常见问题博客恢复知识库文章中获取最新的修复信息。随着新信息的发布,我们将继续积极更新这些文档。

如果客户在修复此前披露的漏洞时遇到任何问题,我们的支持团队将继续提供协助。

Ivanti 客户应查看Mandiant 发布的博客,其中概述了他们观察到的其他 TTP,以及有关通过恢复出厂设置实现持久化的尝试未成功的观察结果。

更新:CISA 和其他政府机构已于 2 月 29 日发布联合公告,汇总了此前的研究,包括 Ivanti 和 Mandiant 于 2 月 27 日发布的发现,以及 CISA 技术实验室开发的一种潜在持久化技术。需要注意的是,CISA、Ivanti 或 Mandiant 均未在真实环境中观察到这一基于实验室的发现;根据所呈现的证据以及我们团队的进一步分析,我们认为,如果威胁行为者试图远程执行此操作,他们将失去与 Ivanti Connect Secure 的连接,且无法在客户实际环境中获得持久化。此外,已打补丁并成功执行恢复出厂设置(硬件)或部署新构建版本(虚拟)的客户,不会受到 CISA 报告中所述活动的风险影响。

Ivanti、Mandiant 和 CISA 建议使用更新版外部 ICT,以帮助检测已知攻击向量,并检测新增文件或已更改文件。正如 Ivanti 所强调的,这是您安全工具组合中一款有用且信息丰富的安全工具,可补充其他安全和监测工具。我们的建议仍然是,您应将更新版 ICT 与持续监测结合使用。

我们正在持续深入审查风险以及威胁行为者不断演变的技术。当出现新的发现时,我们将迅速采取行动,以符合客户最佳利益的方式提供信息,并在适当情况下发布修复程序或增强我们的 ICT。为实现这一目标,我们将继续与安全和政府合作伙伴保持积极合作。

我们高度重视客户安全,并致力于应用增强的安全流程和协议,确保我们的产品在客户及其所在行业面临日益激烈的威胁时仍然保持安全。

关键常见问题

在 2 月 27 日和 2 月 29 日公告发布后,客户是否需要采取任何行动?

对于已经成功完成恢复出厂设置(硬件)或部署新构建版本(虚拟)并为其设备打补丁的客户,唯一需要采取的措施是继续遵循 Ivanti 和 Mandiant 的指导,运行内部 ICT 和更新版外部 ICT,并进行持续监测;持续监测也应更新,以反映这些不断演变的技术。

Ivanti 和我们的安全合作伙伴尚未发现任何在实施 Ivanti 建议的安全更新和恢复出厂设置(硬件)/新构建版本(虚拟)后,威胁行为者成功实现持久化的实例。

对于尚未打补丁的客户,应立即按照知识库文章中提供的说明进行操作。

再次说明,如果您此前已遵循 Ivanti 的说明,并且 ICT 扫描结果仍然干净,则无需完成任何额外的恢复出厂设置,也无需部署新构建版本(针对虚拟设备)。

完整性检查工具对客户是否有效?

是的,Ivanti、Mandiant 和 CISA 建议使用更新版外部 ICT,该工具有助于检测已知攻击向量,并检测已更改文件和新增文件,同时应与持续监测结合使用。ICT 能够有效判断是否存在基于已知攻击向量遗留的恶意内容。

正如 Ivanti 所强调的,ICT 是您安全工具组合中一款重要且信息丰富的安全工具,可与其他工具配合使用。持续监测对于检测潜在威胁仍然非常重要,因为 ICT 被有意设计为设备当前状态的快照;如果设备已恢复到干净状态,它未必能够检测到威胁行为者的活动。其他安全工具也应用于监测扫描之间发生的更改,以及恶意软件和其他入侵指标 (IoC)。

ICT 的设计旨在专门聚焦于威胁行为者在真实环境中部署的已知威胁活动。这能够为客户最大化有意义的结果并最大限度减少误报,Mandiant 也在其博客中验证了该工具的有效性。其他标准安全监测工具则用于检测其他活动。

是否存在此前未披露的新漏洞或入侵?

没有,不存在新的 CVE。Ivanti 以及我们的安全和政府合作伙伴尚未发现任何在实施安全更新和恢复出厂设置后,威胁行为者成功实现持久化的实例。

Ivanti、Mandiant 和 CISA 描述的新活动涉及已观察到的有限尝试,即试图通过恢复出厂设置维持持久化但未成功;另有 CISA 开发的一种基于实验室的潜在技术,他们认为该技术可用于尝试实现持久化。上述两种情况均未在真实环境中成功使用。

需要注意的是,根据所呈现的证据以及我们团队的进一步分析,我们认为 CISA 在其技术实验室中发现的技术无法让威胁行为者在客户实际环境中成功实现未被检测到的持久化。

为什么 Ivanti 得出结论,认为 CISA 在其技术实验室中发现的技术无法在客户实际环境中实现成功持久化?

Ivanti 及其外部安全专家评估了 CISA 的技术发现,并确定如果在真实的未打补丁客户环境中部署该技术,与 Ivanti Connect Secure 的连接将会丢失,因此无法远程执行。因此,我们认为这种持久化风险在实际客户部署中并不成立。

如果持久化未成功,为什么 Ivanti 和 Mandiant 要发布此信息?

我们于 2 月 27 日发布了有关我们正在监测的威胁行为者技术演变的相关信息,以便防御人员采取措施,进一步保护自己免受高度复杂且具有侵略性的攻击。尽管截至目前这些技术尚未在真实环境中成功部署,客户仍可将这些信息纳入自身的持续监测。

我们致力于提供信息和工具,确保客户受到保护,并将继续与我们的安全和政府合作伙伴保持合作,以实现这一目标。

CISA 是否建议 Ivanti 客户拔掉其设备电源?

CISA 从未指示组织永久停止在生产环境中使用 Ivanti 系统。CISA 最初向联邦机构发布的指令被媒体误读,媒体只报道了说明中的第一步。CISA 随后更新了该指令以纠正这一点,并于 2 月 9 日再次更新,明确说明打补丁后可以重新启用该产品。

CISA 2 月 29 日公告汇总了此前的研究,以及一种其认为可用于尝试实现持久化的基于实验室的技术,并建议客户了解相关风险。需要注意的是,我们认为 CISA 报告中概述的活动无法远程执行。

为什么 Ivanti Connect Secure 产品中包含较旧版本的开源软件包?

该产品 9.x 版本的硬件没有足够的 CPU 能力来运行较新的 Linux 内核,因此受内核限制,需要使用较旧的开源软件包。由于我们已向后移植安全修复程序,该产品并不受这些较旧开源软件包的影响。就 CISA 报告而言,版本号并不能真实反映二进制软件包或其是否存在漏洞,因为向后移植安全修复程序不会改变二进制软件包的版本号。

所有受支持版本的 Ivanti Connect Secure 均已通过国家信息保障合作伙伴 (NIAP) 认证,并已保持约 20 年。该认证验证产品是否满足美国国家安全系统采购的安全要求。

较新的 22.x 版本 Ivanti Connect Secure 基于新的 Linux 内核构建,因此确实需要更强大的 CPU。为此,我们推出了新的平台 ISA,该平台不包含较旧版本的开源软件包,并能够支持更多安全增强功能。

我们已于 2022 年 7 月正式发布 9.x 硬件和软件产品的生命周期终止通知。我们正在积极与客户合作,将其设备更新到 22.x,或通过 Ivanti Neurons for Zero Trust Access 迁移到云端。

Ivanti 产品中存在的所有代码,包括 9.x 中较旧的开源代码,均已在我们的署名信息和 SBOM 中清楚列明,这些信息可在 ivanti.com 上提供的产品文档中获取。

您可以在此处阅读所有最常见问题的解答。