2024 年 1 月 19 日,網路安全和基礎架構安全局 (CISA) 發佈了緊急指令 24-01:緩解 Ivanti Connect Secure 和 Ivanti Policy Secure 漏洞。CISA 有權針對已知或合理懷疑的資訊安全威脅、漏洞或事件發佈緊急指令。美國聯邦機構必須遵守這些指令。
聯邦機構被指示對最近發現的兩個漏洞採取緩解措施;緩解措施將在三天內實施。CISA 的進一步監控顯示,威脅行為者正在繼續利用這些漏洞,並針對早期的緩解措施和偵測方法開發了一些應對辦法。1 月 31 日,CISA 發佈了緊急指令的補充指令 V1,指示各機構立即斷開 Ivanti Connect Secure 和 Ivanti Policy Secure 產品的所有執行個體與機構網路的連線,在執行多項動作後才可將產品重新投入使用。
本部落格文章將探討威脅行為者的策略,討論目標產品的高價值性質,並展示 Cloudflare 的安全存取服務邊緣 (SASE) 平台如何防禦此類威脅。
順便說一句,Cloudflare 的 WAF 主動偵測了 Ivanti zero-day 漏洞並部署了緊急規則來保護 Cloudflare 客戶,展示了分層保護的價值。
威脅行為者策略
取證調查(請參閱 Volexity 部落格上的精彩文章)表明,攻擊早在 2023 年 12 月就開始了。結合各種證據,我們可以得知,威脅行為者將兩個以前未知的漏洞鏈接在一起,以獲得對 Connect Secure 和 Policy Secure 設備的存取權限並實現未經驗證的遠端程式碼執行 (RCE)。
CVE-2023-46805 是產品 Web 元件中的驗證繞過漏洞,允許遠端攻擊者繞過控制檢查並獲取對受限資源的存取權限。CVE-2024-21887 是產品 Web 元件中的命令插入漏洞,允許經過驗證的管理員在設備上執行任意命令並傳送特製請求。遠端攻擊者能夠繞過驗證並被視為「經過驗證的」管理員,然後利用在設備上執行任意命令的能力。
透過利用這些漏洞,威脅行為者幾乎完全控制了設備。除此之外,攻擊者還能夠:
- 收集登入 VPN 服務之使用者的認證
- 使用這些認證登入受保護系統以搜尋更多認證
- 修改檔案以啟用遠端程式碼執行
- 將 Web Shell 部署到多個 Web 伺服器
- 從設備傳回其命令和控制伺服器 (C2) 的反向通道
- 透過停用記錄和清除現有記錄來避開偵測
小設備,大風險
這是一起嚴重事件,使客戶面臨重大風險。CISA 發佈指令是合理的,Ivanti 正在努力減輕威脅並為其設備上的軟體開發修補程式。但這也是對傳統「城堡加護城河」安全範式的又一控訴。在這種模式中,遠端使用者位於城堡外,而受保護的應用程式和資源則留在城堡內。由一層安全設備組成的護城河將兩者分開。護城河(在本例中為 Ivanti 設備)負責對使用者進行驗證和授權,然後將他們連接到受保護的應用程式和資源。攻擊者和其他壞人被擋在護城河邊。
這一事件向我們展示了當壞人能夠控制護城河本身時會發生什麼,以及客戶恢復控制權時面臨的挑戰。廠商提供的設備和傳統安全性原則的兩個典型特徵凸顯了風險:
- 管理員可以存取設備的內部
- 經過驗證的使用者可以隨意存取公司網路上的各種應用程式和資源,從而增加了不良行為者橫向移動的風險
更好的方法:Cloudflare 的 SASE 平台
Cloudflare One 是 Cloudflare 的 SSE 和單一廠商 SASE 平台。雖然 Cloudflare One 廣泛涵蓋安全和網路服務(您可以在此處閱讀最新的新增功能),但我想重點關注上述兩點。
首先,Cloudflare One 採用 Zero Trust 原則,包括最低權限原則。因此,成功驗證的使用者只能存取其角色所需的資源和應用程式。這一原則在使用者帳戶遭到入侵的情況下也很有幫助,因為不良行為者不會獲得毫無限制的網路級存取權限。相反,最低權限限制了不良行為者的橫向移動範圍,從而有效減少了影響範圍。
其次,雖然客戶管理員需要有權設定其服務和原則,但 Cloudflare One 不提供對 Cloudflare 平台系統內部的任何外部存取權限。沒有這種存取權限,不良行為者將無法發起有權存取 Ivanti 設備內部時所執行的攻擊類型。
是時候淘汰傳統 VPN 了
如果您的組織受到 CISA 指令的影響,或者您剛好想要進行現代化改造並希望增強或取代當前的 VPN 解決方案,Cloudflare 可以為您提供幫助。Cloudflare 的 Zero Trust 網路存取 (ZTNA) 服務是 Cloudflare One 平台的一部分,是將任何使用者連接到任何應用程式的最快、最安全的方式。
歡迎聯絡我們以立即獲得部署幫助,或安排架構研討會,幫您擴充或取代 Ivanti(或任何)VPN 解決方案。
還沒有準備好進行即時對話?請閱讀我們的學習路徑文章,瞭解如何使用 Cloudflare 取代您的 VPN,或閱讀我們的 SASE 參考架構,瞭解我們所有的 SASE 服務和入口如何協同工作。