威胁情报公司Volexity发现,影响 Ivanti 的 Connect Secure VPN 和 Policy Secure 网络访问控制 (NAC) 设备的两个零日漏洞正在被大规模利用。自1月11日开始,多个威胁组织在大范围攻击中利用CVE-2023-46805身份验证绕过和CVE-2024-21887命令注入漏洞。
Volexity警告称:可能受到 Ivanti Connect Secure 零日漏洞侵害的企业遍布全球。这些受害企业的规模相差悬殊,既有小型企业,也有全球知名的大型企业,其中包括多个行业垂直领域的财富500强企业。
威胁监测服务 Shadowserver 目前跟踪了超过 16800 台暴露在网上的 ICS VPN 设备,其中近 5000 台在美国(Shodan 还发现超过 15000 台暴露在互联网上的 Ivanti ICS VPN)。
Zipline 被动后门:可拦截网络流量的定制恶意软件,支持上传/下载操作,创建反向外壳、代理服务器和服务器隧道 Thinspool Dropper:自定义 Shell 脚本驱动器,可将 Lightwire Web Shell 写入 Ivanti CS,确保持久性 Wirefire 网络外壳:基于 Python 的自定义网络外壳,支持未经验证的任意命令执行和有效载荷投放。 Lightwire 网络外壳:嵌入到合法文件中的定制 Perl 网络外壳,可执行任意命令 Warpwire 收集器:基于 JavaScript 的定制工具,用于在登录时收集凭证,并将其发送到命令和控制 (C2) 服务器 PySoxy 隧道器:便于网络流量隧道的隐蔽性 BusyBox:多调用二进制文件,结合了许多用于各种系统任务的 Unix 实用程序 Thinspool 实用程序 (sessionserver.pl):用于将文件系统重新挂载为 "读/写",以便部署恶意软件
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...