Ivanti 修复再次发布：新漏洞补丁来袭

关键要点

Ivanti 发布了新的补丁，以修复 CVE202422024 漏洞，该漏洞可能允许攻击者在未经认证的情况下访问受限资源。攻击者尚未利用此漏洞，Ivanti 仍在进行内部审核和测试。填补安全漏洞迫在眉睫，安全团队应及时应用最新补丁。

Ivanti 在 2 月 8 日发布了针对最近发现的影响 Ivanti Connect Secure VPN、Policy Secure 和 ZTA 网关的漏洞的新补丁。在一份给客户的公告中，Ivanti 解释了该缺陷 CVE202422024 允许攻击者在没有认证的情况下访问某些受限资源。

Ivanti 表示，目前没有证据表明这一新漏洞CVSS 83在实际环境中被利用，因为它是在供应商的内部代码审核和测试过程中发现的。然而，他们指出，安全团队必须及时应用此补丁，以确保完全保护。如果客户在 1 月 31 日或 2 月 1 日之前已经应用了补丁并完成了设备的出厂重置，则无需再次进行出厂重置。

这一消息延续了Ivanti 为其网络设备所面临的一个月漏洞问题，其中还包括其他四个漏洞，其中有三个在实际环境中被利用。

威胁行为者持续利用漏洞

自 1 月 12 日首次撰写有关Ivanti 漏洞的文章以来，网络安全公司 Mandiant 发现了由原始威胁行为者 UNC5221 及其他未分类威胁组进行的大规模利用活动。SC Media 2 月 1 日报道称，这些问题被认为足够严重，网络安全和基础设施安全局 (CISA) 下令联邦机构断开所有受影响设备的连接。

免费火烧云加速器

Viakoo Labs 的副总裁 John Gallagher 表示，Ivanti 的恢复需要同时解决攻击的技术方面和失去的信任/声誉。Gallagher 指出，Ivanti 在这两个方面都遇到了很大困难。“如果他们的补丁最初成功并停止了进一步利用，那么 CISA 不会采取要求联邦机构断开所有受影响设备的行动，从而给 Ivanti 带来了巨大的声誉损失，”Gallagher 解释道。

Gallagher 进一步指出，大多数网络安全组织面临的风险与 Ivanti 相似 如果初步补丁使攻击更加严重，并导致更高的攻击量，客户很快会开始寻找替代方案。客户最终寻找的是能为他们的组织提供最低风险的解决方案。“这并不完全是关于 Ivanti，”Gallagher 说。“而是关于威胁行为者执着于实现他们的目标。”

Gallagher 总结认为，Ivanti 的麻烦告诫我们，补丁的发布速度需要更快，测试需要更加全面，尤其是在明确某个威胁行为者针对特定设备时。

另一方面，DoControl 的高级解决方案工程师 Richard Aviles 认为，身份平台受到了广泛关注是有道理的，因为身份是任何零信任架构的基础。尽管 Ivanti 最近发布的 CVE 数量和影响让我们认为“有火灾的可能性不能忽视”，Aviles 提到了两个可以缓解的论点。

“首先，Ivanti 本身在进行代码审核和测试时发现了这一最新 CVE，”Aviles 表示。“这意味着他们对这些问题非常重视并在努力解决。其次，他们的披露是及时、准确且明确的。因为这是内部发现，他们本可以选择不披露。考虑到他们披露了这个漏洞，Ivanti 应该