2024 年 1 月 19 日,网络安全和基础设施安全局 (CISA) 发布了紧急指令 24-01:缓解 Ivanti Connect Secure 和 Ivanti Policy Secure 漏洞。CISA 有权针对已知或合理怀疑的信息安全威胁、漏洞或事件发布紧急指令。美国联邦机构必须遵守这些指令。
联邦机构被指示对最近发现的两个漏洞采取缓解措施;缓解措施将在三天内实施。CISA 的进一步监控显示,威胁行为者正在继续利用这些漏洞,并针对早期的缓解措施和检测方法开发了一些应对办法。1 月 31 日,CISA 发布了紧急指令的补充指令 V1,指示各机构立即断开 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的所有实例与机构网络的连接,在执行多项操作后才可将产品重新投入使用。
本博文将探讨威胁行为者的策略,讨论目标产品的高价值性质,并展示 Cloudflare 的安全访问服务边缘 (SASE) 平台如何防御此类威胁。
顺便说一句,Cloudflare 的 WAF 主动检测了 Ivanti zero-day 漏洞并部署了紧急规则来保护 Cloudflare 客户,展示了分层保护的价值。
威胁行为者策略
取证调查(请参阅 Volexity 博客上的精彩文章)表明,攻击早在 2023 年 12 月就开始了。结合各种证据,我们可以得知,威胁行为者将两个以前未知的漏洞链接在一起,以获得对 Connect Secure 和 Policy Secure 设备的访问权限并实现未经身份验证的远程代码执行 (RCE)。
CVE-2023-46805 是产品 Web 组件中的身份验证绕过漏洞,允许远程攻击者绕过控制检查并获取对受限资源的访问权限。CVE-2024-21887 是产品 Web 组件中的命令注入漏洞,允许经过身份验证的管理员在设备上执行任意命令并发送特制请求。远程攻击者能够绕过身份验证并被视为“经过身份验证的”管理员,然后利用在设备上执行任意命令的能力。
通过利用这些漏洞,威胁行为者几乎完全控制了设备。除此之外,攻击者还能够:
- 收集登录 VPN 服务的用户的凭据
- 使用这些凭据登录受保护的系统以搜索更多凭据
- 修改文件以启用远程代码执行
- 将 Web Shell 部署到多个 Web 服务器
- 从设备返回到其命令和控制服务器 (C2) 的反向隧道
- 通过禁用日志记录和清除现有日志来避开检测
小设备,大风险
这是一起严重事件,使客户面临重大风险。CISA 发布指令是合理的,Ivanti 正在努力减轻威胁并为其设备上的软件开发补丁。但这也是对传统“城堡与护城河”安全范式的又一控诉。在这种模式中,远程用户位于城堡外,而受保护的应用程序和资源则留在城堡内。由一层安全设备组成的护城河将两者分开。护城河(在本例中为 Ivanti 设备)负责对用户进行身份验证和授权,然后将他们连接到受保护的应用程序和资源。攻击者和其他坏人被挡在护城河边。
这一事件向我们展示了当坏人能够控制护城河本身时会发生什么,以及客户恢复控制权时面临的挑战。供应商提供的设备和传统安全策略的两个典型特征凸显了风险:
- 管理员可以访问设备的内部结构
- 经过身份验证的用户可以随意访问公司网络上的各种应用程序和资源,从而增加了不良行为者横向移动的风险
更好的方法:Cloudflare 的 SASE 平台
Cloudflare One 是 Cloudflare 的 SSE 和单一供应商 SASE 平台。虽然 Cloudflare One 广泛涵盖安全和网络服务(您可以在此处阅读最新的新增功能),但我想重点关注上述两点。
首先,Cloudflare One 采用 Zero Trust 原则,包括最低权限原则。因此,成功验证的用户只能访问其角色所需的资源和应用程序。这一原则在用户帐户遭到入侵的情况下也很有帮助,因为不良行为者不会获得毫无限制的网络级访问权限。相反,最低权限限制了不良行为者的横向移动范围,从而有效减少了影响范围。
其次,虽然客户管理员需要有权配置其服务和策略,但 Cloudflare One 不提供对 Cloudflare 平台系统内部的任何外部访问权限。没有这种访问权限,不良行为者将无法发起有权访问 Ivanti 设备内部时所执行的攻击类型。
是时候淘汰传统 VPN 了
如果您的组织受到 CISA 指令的影响,或者您刚好想要进行现代化改造并希望增强或替换当前的 VPN 解决方案,Cloudflare 可以为您提供帮助。Cloudflare 的 Zero Trust 网络访问 (ZTNA) 服务是 Cloudflare One 平台的一部分,是将任何用户连接到任何应用程序的最快、最安全的方式。
欢迎联系我们以立即获得入门协助,或安排一场架构研讨会,帮助您增强或替换您的 Ivanti(或任何)VPN 解决方案。
还没有准备好进行实时对话?请阅读我们的学习路径文章,了解如何使用 Cloudflare 替换您的 VPN,或阅读我们的 SASE 参考架构,了解我们所有的 SASE 服务和入口如何协同工作。