威脅情報公司Volexity發現，影響 Ivanti 的 Connect Secure VPN 和 Policy Secure 網絡訪問控制 (NAC) 設備的兩個零日漏洞正在被大規模利用。自1月11日開始，多個威脅組織在大范圍攻擊中利用CVE-2023-46805身份驗證繞過和CVE-2024-21887命令注入漏洞。

Volexity警告稱：可能受到 Ivanti Connect Secure 零日漏洞侵害的企業遍布全球。這些受害企業的規模相差懸殊，既有小型企業，也有全球知名的大型企業，其中包括多個行業垂直領域的財富500強企業。

攻擊者使用 GIFTEDVISITOR webshell 變體對目標系統進行了后門攻擊，在數百臺設備上發現了該變體。

上周日（1 月 14 日），Volexity 發現有 1700 多臺 ICS VPN 設備被 GIFTEDVISITOR webshell 入侵。這些設備對受害者進行無差別攻擊。Volexity 迄今發現的受害者名單包括世界各地的政府和軍事部門、國家電信公司、國防承包商、技術公司、銀行、金融和會計機構、全球咨詢公司以及航天、航空和工程公司。

雖然 Ivanti 尚未發布針對這兩個漏洞的補丁，但他們建議管理員在其網絡上的所有 ICS VPN 上應用供應商提供的緩解措施，并同時運行 Ivanti 的 "完整性檢查工具"。并在發現有出現漏洞的跡象時將 ICS VPN 設備上的所有數據（包括密碼和任何機密）視為已損壞狀態，具體詳見 Volexity 上一篇博文的 "應對漏洞 "部分。

威脅監測服務 Shadowserver 目前跟蹤了超過 16800 臺暴露在網上的 ICS VPN 設備，其中近 5000 臺在美國（Shodan 還發現超過 15000 臺暴露在互聯網上的 Ivanti ICS VPN）。

ICS VPN 設備在網上曝光（Shadowserver）

Ivanti 上周表示，攻擊者在成功連鎖這兩個零日漏洞后，可以在所有支持版本的 ICS VPN 和 IPS 設備上運行任意命令。

Mandiant 上周五（1月12日）透露其安全專家發現被入侵客戶的系統中部署了五種定制惡意軟件，其最終目的是投放 webshell、附加惡意有效載荷和竊取憑證。攻擊中使用的工具包括：

Zipline 被動后門：可攔截網絡流量的定制惡意軟件，支持上傳/下載操作，創建反向外殼、代理服務器和服務器隧道

Thinspool Dropper：自定義 Shell 腳本驅動器，可將 Lightwire Web Shell 寫入 Ivanti CS，確保持久性

Wirefire 網絡外殼：基于 Python 的自定義網絡外殼，支持未經驗證的任意命令執行和有效載荷投放。

Lightwire 網絡外殼：嵌入到合法文件中的定制 Perl 網絡外殼，可執行任意命令

Warpwire 收集器：基于 JavaScript 的定制工具，用于在登錄時收集憑證，并將其發送到命令和控制 (C2) 服務器

PySoxy 隧道器：便于網絡流量隧道的隱蔽性

BusyBox：多調用二進制文件，結合了許多用于各種系統任務的 Unix 實用程序

Thinspool 實用程序 (sessionserver.pl)：用于將文件系統重新掛載為 "讀/寫"，以便部署惡意軟件

其中ZIPLINE需要特別引起注意 ，它是一個被動后門，可以攔截傳入的網絡流量，并提供文件傳輸、反向外殼、隧道和代理功能。

去年 4 月開始，Ivanti 的端點管理器移動版（EPMM）中的另外兩個零日漏洞（CVE-2023-35078 和 CVE-2023-35081）被標記為被積極利用，后來有報道稱這兩個零日漏洞被黑客組織用于入侵多個挪威政府組織。

在那之后的一個月，黑客利用了 Ivanti Sentry 軟件中的第三個零日漏洞（CVE-2023-38035），并在有限的定向攻擊中繞過易受攻擊設備上的 API 身份驗證。