Ivanti 研究发现 86% 的 IT 专业人员认为糟糕的数字体验会导致工作场所不安全
只有 13% 的安全专业人士表示,在采用网络安全技术干预措施时,用户体验是任务关键的优先事项 盐湖城,2024 年 10 月 1 日——(美国商业资讯)–伊万塔这家科技公司打破了 IT 和安全之间的障碍,使 Everywhere Work 能够蓬勃发展,发布了最新报告 确保数字化员工体验,其中详细介绍了公司如何在保护公司安全和确保积极的数字员工体验 (DEX) 之间取得适当的平衡。 当员工遇到技术摩擦或对要求使用的工具感到沮丧时,他们会找到解决方法。事实上,二分之一的办公室职员承认使用个人设备登录工作网络,其中 32% 的人透露他们的雇主不知道这种做法。然而,只有 13% 的安全专业人士表示,在采用网络安全技术干预措施时,最终用户的用户体验 (UX) 是一项关键任务。通过在安全措施中关注用户体验,组织可以最大限度地减少员工绕过既定协议并诉诸不安全解决方法的可能性。 Ivanti 现场首席信息安全官 Mike Riemer 表示:“虽然目前无害,但员工通常会选择便利而将安全性放在次要位置。” “公司应采取措施了解员工的工作场所行为,并采取安全措施,减少员工回避协议和使用不安全解决方法的诱惑。强大的安全性不应以牺牲用户体验为代价,因为它对于维护和维护用户体验至关重要。安全性和生产力。” 该报告的主要发现包括以下内容: 公司没有为办公室、远程和混合工作提供安全的工具:无论是一半员工还是一小部分员工远程工作,仍然迫切需要确保公司支持员工的所有工作方式。只有 62% 使用 VPN 或零信任访问解决方案来限制网络访问并保护敏感信息,只有 57% 使用多重身份验证。 安全领导者通常被排除在 DEX 投资决策之外:基于 DEX 的安全性最大限度地减少了员工改变其典型工作行为的需要。然而,尽管 DEX 工具可以对安全做出重大贡献,但只有 38% 的公司向 CISO 咨询 DEX 战略、投资和规划的意见。 Ivanti 对全球 20,000 多名 […]
Ivanti vTM 漏洞被添加到已知被利用的漏洞目录中
Ivanti Virtual Traffic Manager (vTM) 中存在一个严重漏洞, 添加到已知利用漏洞 (KEV) 目录 由网络安全和基础设施安全局 (CISA) 于周二发布。 Ivanti vTM 是一款应用程序交付控制器 (ADC) 软件,旨在平衡和管理传入 Web 应用程序的流量。该漏洞被归类为 CVE-2024-7593,披露于 Ivanti 安全公告 于 8 月 12 日发布,CVSS 评分为 9.8。 该漏洞存在于 3 月 26 日之前发布的所有 Ivanti vTM 版本的身份验证算法实现中。攻击者可以利用此漏洞远程绕过身份验证并通过暴露在互联网上的 vTM 管理界面创建新的管理员用户。 在该漏洞首次披露时,概念验证 (PoC) 漏洞代码已在网上发布。解决 CVE-2024-7593 的 Ivanti vTM 的第一个版本是 3 月 26 日发布的 22.2R1 和 5 月 […]
Ivanti 首席执行官承诺“从根本上改变”其遭受重创的安全模式
盖蒂图片社 Ivanti 是一家远程访问公司,其远程访问产品近几个月来遭受了严重的攻击, 并承诺“新时代”,该计划以“重大投资”和董事会的全面支持为后盾,“从根本上改变了 Ivanti 安全运营模式”。 首席执行官杰夫·阿博特(Jeff Abbott)的公开信承诺改进“核心工程、安全和漏洞管理”,使所有产品“通过设计实现安全”,正式建立网络防御机构合作伙伴关系,并“与我们的客户共享信息和学习”。 其中的细节包括该公司承诺提高“由人工智能驱动”的 Ivanti 安全资源和文档门户的搜索能力,以及“交互式语音响应系统”,用于路由呼叫并提醒客户安全问题,也是“由人工智能驱动”。 Ivanti 首席执行官 Jeff Abbott 谈到了公司安全模型的“广泛转变”。 Ivanti 和 Abbott 似乎已经为这个演示文稿工作了一段时间,所以他们不太可能知道它会在几天后到达 披露了四个新漏洞 其 Connect Secure 和 Policy Secure 网关产品,其中两个被评为高严重性。 这些漏洞是在两周后出现的 二 其他 漏洞,被评为严重,具有远程代码执行能力。 以及那些跟随“为期三周的不间断剥削狂潮“二月初,这让安全主管们忙着修补和恢复服务,或者像联邦民事机构那样, 从头开始重建他们的服务器。 广告 由于 Ivanti 生产的 VPN 产品已在包括政府机构在内的大型组织中广泛使用,因此它是威胁行为者的丰富目标,而且近年来似乎特别软。 Ivanti 的 Connect Secure 是一种 VPN 设备,通常缩写为 ICS,充当允许授权设备进行连接的网守。 由于其广泛部署和始终在线的状态,ICS 一直是一个丰富的目标,特别是对于国家级参与者和出于经济动机的入侵者而言。 ICS(以前称为 Pulse Connect)存在先前被利用的零日漏洞 2019年 和 […]
Ivanti 攻击与针对国防承包商的间谍组织有关
研究人员认为,负责对 Ivanti 网络设备进行协同攻击的与中国相关的威胁组织已经掌握了有关这些设备的“重要知识”。 今年到目前为止,Ivanti 已发布了以下补丁 五个高危和危急严重漏洞 影响其 Connect Secure、Policy Secure 和 Neurons for Zero Trust Access 设备。 尽管研究人员此前曾表示,他们怀疑中国民族国家的威胁行为者是 负责利用漏洞,归因于特定群体仍然难以捉摸。 在一个 2月27日帖子,Mandiant 的研究人员(Ivanti 聘请他们来帮助减轻攻击的影响)将攻击者与另一个威胁组织联系起来,据信该组织过去曾使用类似的技术来针对虚拟化技术。 Mandiant 正在追踪对 Ivanti 攻击负责的攻击者(编号为 UNC5325),并在帖子中表示,该组织正在结合使用离地技术来逃避检测,并使用新颖的恶意软件在系统升级、补丁和恢复出厂设置中持续存在。 (曼迪安特 使用 UNC 前缀 标记尚未完全定义的“未分类”威胁群体。) “虽然迄今为止,由于恶意软件代码中缺乏解释加密密钥不匹配的逻辑,观察到的维持持久性的有限尝试尚未成功,但它进一步证明了 UNC5325 为维持对优先目标的访问而付出的努力,并强调了确保网络设备拥有最新更新和补丁的重要性,”研究人员表示。 UNC5325 威胁组织的幕后黑手是谁? UNC5325 是一名涉嫌中国网络间谍活动的运营商,负责利用 CVE-2024-21893一个漏洞 披露并修补 作者:Ivanti,1 月 31 日。 研究人员表示,该组织的策略、技术和程序(TTP)以及恶意软件部署“展示了涉嫌与中国有联系的间谍活动者继续利用零日漏洞攻击边缘基础设施的能力”。 他们将 UNC5325 与另一个未分类的中国威胁组织 (UNC4841) 进行了比较,据信该组织对 去年发生的一系列袭击事件 针对 Barracuda […]
Ivanti 披露新的零日漏洞并延迟发布补丁
Ivanti 周三发布了针对本月早些时候披露的两个关键零日漏洞的补丁,但同时也警告客户注意两个新漏洞,其中包括一个正在被利用的新零日漏洞。 在 1 月 10 日的安全公告中, 伊万蒂详细 两个零日远程代码执行漏洞(编号为 CVE-2023-46805 和 CVE-2024-21887)影响 Ivanti Policy Secure (IPS) 和 Ivanti Connect Secure (ICS)。 一周后,被 Ivanti 认为是发现者的 Volexity 证实: 全球 1,700 台设备受到威胁 自12月初以来。 Volexity 和 Mandiant 也对利用活动进行了调查,并将这些攻击归咎于中国民族国家威胁行为者。 供应商还透露,威胁行为者部署了 Web shell 来维持对易受攻击的 ICS 设备的持续访问,这使得缓解变得更加困难。 虽然 Ivanti 周三宣布了 CVE-2023-46805 和 CVE-2024-21887 的第一轮修复,但该软件供应商还披露了 ICS 和 IPS 中的两个新错误。 一个是编号为 CVE-2024-21888 的权限升级漏洞,另一个是编号为 CVE-2024-21893 […]
警告:威胁行为者绕过了一些 Ivanti 缓解措施
美国和澳大利亚的网络当局向 IT 管理员发出新警告,要求他们采取更多行动来保护 Ivanti Connect 安全和策略安全网关。 与此同时,Ivanti 透露,除了本月早些时候披露的两个漏洞之外,还发现了该设备的两个新漏洞。 最新的漏洞是 CVE-2024-21888 是一个影响策略安全的权限提升漏洞,CVE-2024-21893 是一个服务器端请求伪造漏洞,影响受支持的 Connect Secure 和策略安全网关版本。 Ivanti 今天发布了 Connect Secure(版本 9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2 和 22.5R1.1)和 ZTA 版本 22.6R1.3 的补丁。 覆盖新的洞。 更多补丁即将推出。 “出于谨慎考虑,我们建议客户在应用补丁之前将其设备重置为出厂设置,以防止威胁行为者在您的环境中获得持久性升级,” 伊万蒂今天早上说道。 客户预计重置过程将需要三到四个小时。 Ivanti 补充道,受支持版本的剩余补丁仍将按交错时间表发布。 澳大利亚网络安全中心今天上午表示,据报道,威胁行为者已开发出一些缓解和检测方法的变通办法,导致据报道正在进行的利用活动。 警报称,该中心“强烈建议运营易受攻击的 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的组织对潜在的系统危害进行调查和监控”。 IT 管理员应监控身份验证、帐户使用和身份管理服务,并考虑尽可能将系统与任何企业资源隔离。 美国 周二也发出了类似的警告。 美国网络安全和基础设施安全局 (CISA) 表示:“威胁行为者正在继续利用 Ivanti Connect Secure 和 Policy […]
“广泛”利用的 Ivanti 零日漏洞
两个尚未修补的关键 Ivanti 漏洞在公开披露后仅五天就被广泛利用。 在周三的安全公告中,Ivanti 敦促用户和管理员缓解 两个零日漏洞 影响 Ivanti Policy Secure 和 Ivanti Connect Secure (ICS)。 该通报指出,第一轮补丁要到 1 月 22 日才会发布,第二轮补丁将于 2 月 19 日开始,但漏洞利用已经开始。 Volexity 向 Ivanti 报告了这些缺陷,并检测到与一个被追踪为 UTA0178 的中国民族国家威胁行为者有关的漏洞利用。 Ivanti 确认,截至 1 月 11 日,只有不到 10 名客户受到威胁。然而,Volexity 周一发布了一篇博文,显示利用行为已迅速蔓延,威胁范围已超出 UTA0178。 研究人员在报告中写道:“这些漏洞的利用现在已经很普遍了。Volexity 已经能够找到全球 1,700 多台设备遭到入侵的证据。” 博客文章。 据 Volexity 称,受影响的客户范围从小型企业到财富 500 强公司,包括全球政府和军事部门、国家电信公司和国防承包商。 其他行业包括技术、金融和航空航天。 Volexity 和 Mandiant 将 […]
Ivanti Secure VPN 零日漏洞允许中国威胁行为者破坏系统
Ivanti Secure VPN(一种全球组织使用的流行 VPN 解决方案)中发现了两个零日漏洞。 这些漏洞目前至少被一个名为 UTA0178 的中国民族国家威胁行为体在野外利用。 这两个漏洞的串联允许任何攻击者无需任何身份验证即可执行远程代码并危及受影响的系统。 Ivanti Secure VPN 零日漏洞是什么? Ivanti 发布了官方安全公告 和 知识库 关于两个零日漏洞的文章, CVE-2023-46805 和 CVE-2024-21887,影响 Ivanti Connect Secure(以前称为 Pulse Connect Secure)和 Ivanti 策略安全网关的所有受支持版本。 CVE-2023-46805 是 Ivanti Connect Secure 和 Ivanti Policy Secure 的 Web 组件中的身份验证绕过漏洞。 它允许攻击者通过绕过控制检查来访问受限资源。 CVE-2024-21887 是 Ivanti Connect Secure 和 Ivanti Policy Secure Web 组件中的命令注入。 它允许经过身份验证的管理员发送特制的请求并在设备上执行任意命令,并且可以通过互联网进行利用。 结合起来,这两个漏洞允许攻击者在受影响的设备上运行命令。 […]
向 Ivanti Connect Secure 和 Policy Secure 网关管理员发出警告
敦促使用 Ivanti Connect Secure/Pulse Secure VPN 和策略安全网关的 IT 管理员立即安装缓解措施。 这些缓解措施是为了临时处理影响这些产品所有受支持版本的两个漏洞(CVE-2023-46805,身份验证绕过和 CVE-2024-21887,命令注入)。 该公司表示,如果它们链接在一起,“利用不需要身份验证,并且使威胁行为者能够制作恶意请求并在系统上执行任意命令”。 该公司表示:“至关重要的是,您必须立即采取行动,以确保您受到充分保护。” 在一份咨询中说。 补丁将按交错的时间表发布,第一个版本的目标是在 1 月 22 日这一周向客户提供,最终版本的目标是在 2 月 19 日这一周提供。在那之前,缓解措施必须完成。 漏洞 由 Volexity 的研究人员发现去年 12 月,该公司在其网络安全监控服务客户之一的网络上发现了可疑的横向移动。 攻击者在客户的内部和面向外部的 Web 服务器上放置 Webshell。 Veloxity 进一步调查后发现,客户 Ivanti Connect Secure VPN 上的日志已被擦除,并且日志记录已被禁用。 然后,它发现了两个不同的零日漏洞,这些漏洞被链接在一起以实现未经身份验证的远程代码执行。 Volexity 在报告中表示:“结合起来,这两个漏洞使得攻击者可以轻而易举地在系统上运行命令。” “在这次特殊事件中,攻击者利用这些漏洞窃取配置数据、修改现有文件、下载远程文件以及从……VPN 设备反向隧道。” 除此之外,攻击者还修改了合法的 Connect Secure 组件并对系统进行了更改,以逃避 VPN 的完整性检查工具。 Volexity 报告称:“随着组织不断改进和强化防御,攻击者不断寻找绕过它们的方法。” “可访问互联网的系统,尤其是 VPN […]
Ivanti 警告其流行的端点保护软件系列存在严重漏洞
软件制造商 Ivanti 敦促其端点安全产品的用户修补一个关键漏洞,该漏洞使未经身份验证的攻击者可以在受影响的网络内执行恶意代码。 该漏洞属于一类称为 SQL注入,存在于所有受支持的版本中 Ivanti 端点管理器。 该软件也称为 Ivanti EPM,可在多种平台上运行,包括 Windows、macOS、Linux、Chrome OS 和路由器等物联网设备。 SQL 注入漏洞源自将用户输入解释为数据库命令的错误代码,或者用更专业的术语来说,源自将数据与 SQL 代码连接在一起而不按照 SQL 语法引用数据。 在跟踪 Ivanti 漏洞时,CVE-2023-39336 的严重性评级为 9.6(满分 10)。 Ivanti 官员周五在一份报告中写道:“如果被利用,有权访问内部网络的攻击者可以利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出,而无需进行身份验证。” 邮政 宣布补丁可用。 “这可以让攻击者控制运行 EPM 代理的机器。 当核心服务器配置为使用 SQL Express 时,这可能会导致核心服务器上出现 RCE。” RCE 是远程代码执行的缩写,或者说是异地攻击者运行他们选择的代码的能力。 目前,没有已知证据表明该漏洞正在被积极利用。 Ivanti 还发布了 披露 仅限注册用户。 Ars 获得的一份副本称,Ivanti 在 10 月份获悉了该漏洞。 私人披露的完整内容是: 广告 […]