Ivanti多重高危漏洞深度剖析:未认证RCE与权限提升威胁

本文详细分析了Ivanti Connect Secure/Policy Secure系列产品中发现的五个高危漏洞组合威胁,包括认证绕过、命令注入、权限提升等攻击手法,提供临时缓解措施与补丁时间表,帮助企业应对国家级APT组织的针对性攻击。

摘要

Ivanti Connect Secure(ICS)和Ivanti Policy Secure网关受到两个高危漏洞影响:CVE-2023-46805(认证绕过)和CVE-2024-21887(命令注入)。这些漏洞影响所有当前支持的产品版本,攻击者可通过组合利用实现未认证远程代码执行。后续披露的CVE-2024-21888(权限提升)、CVE-2024-21893(服务端请求伪造)和CVE-2024-22024(XXE注入)进一步扩大了攻击面。目前已有国家级APT组织积极利用这些漏洞发起攻击。

受影响系统

  • Ivanti Connect Secure (ICS) 9.x/22.x
  • Ivanti Policy Secure 9.x/22.x
  • Ivanti Neurons for ZTA 22.5R1.5/22.6R1.3

技术细节

漏洞组合分析

CVE-2023-46805(CVSS 8.2)
Web组件认证绕过漏洞,允许攻击者直接访问受限资源。

CVE-2024-21887(CVSS 9.1)
Web组件命令注入漏洞,认证管理员可通过特制请求在设备上执行任意命令。

组合利用效果
未认证攻击者可通过互联网完全控制易受攻击的设备。

后续漏洞披露

  • CVE-2024-21888(CVSS 8.8):权限提升漏洞
  • CVE-2024-21893(CVSS 8.2):SAML组件服务端请求伪造
  • CVE-2024-22024(CVSS 8.3):SAML组件XXE注入漏洞

临时缓解措施

  1. XML缓解文件:通过Ivanti下载门户获取并导入临时缓解配置
  2. 功能影响:应用缓解措施后将影响Admin REST API、终端用户门户等核心功能
  3. 完整性检查:运行外部ICT工具检测潜在威胁活动

补丁时间表

Ivanti采用分阶段补丁发布策略:

  • 起始时间:2024年1月22日当周
  • 全面覆盖:截至2024年2月19日当周

威胁响应

  • Kudelski安全团队持续进行威胁狩猎活动
  • 漏洞扫描插件已更新检测规则
  • 为客户提供实时漏洞预警服务

参考资源

  • Ivanti官方安全公告KB44755
  • Volexity漏洞利用技术分析报告
  • Tenable漏洞评估指南
  • Mandiant APT攻击活动分析
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次