CISA发布关于Ivanti VPN产品的紧急指令

重点摘要

CISA针对Ivanti Connect Secure和Policy Secure VPN产品中的高危漏洞发布了紧急指令，要求联邦行政部门在2月2日晚上之前断开网络连接。Ivanti已发布补丁，但部分版本仍在后续发布中。此指令的发布是由于正在被多个威胁参与者积极利用关键漏洞，造成严重的网络安全风险。

美国网络安全和基础设施安全局CISA于周三发布了一份关于最近发现的Ivanti Connect Secure和Policy Secure VPN产品中高危漏洞的补充指令，要求联邦民事行政机构FCEB在周六早上前断开所有受影响的设备。

此次CISA的指令在Ivanti发布其1月31日的客户通知后紧随其后，该通知中包含了所有已知漏洞的补丁，其中包括针对CVE202421893的修复一个被利用的零日漏洞以及CVE202421888，Ivanti表示此漏洞尚未影响任何客户。Ivanti在遭到批评后迅速发布了补丁，但仅覆盖部分版本，剩余的补丁将在接下来的几周内分阶段发布。

网络安全专家表示，CISA发出的补充指令主要是针对Ivanti VPN设备中早先发现的零日漏洞CVE202346805身份验证绕过和CVE202421887命令注入漏洞所针对的威胁行为者的积极活动。

“CISA在面对美国联邦机构和国家安全存在明显和当前风险的情况下会发布紧急指令，”Critical Start的网络威胁研究高级经理Callie Guenther表示。她进一步强调，此次针对Ivanti Connect Secure和Ivanti Policy Secure VPN产品发出指令，是由于多个威胁参与者正在积极利用关键漏洞CVE202346805和CVE202421887。

Guenther指出，这些漏洞使攻击者能够在网络内进行横向移动、数据外泄以及建立持久的系统访问，给联邦民事企业带来了重大风险。CISA还敦促非联邦机构和私营部门组织采取指令中概述的措施，以应对这些漏洞可能对联邦政府以外产生的影响。

“虽然该指令对联邦民事行政部门具有约束力，但其背后的安全隐患对所有使用Ivanti产品的组织都是相关的，”Guenther表示。

此外，SC Media昨日报道，自从最初撰写关于Ivanti的紧迫漏洞以来，Mandiant已识别出原始威胁参与者UNC5221以及其他未分类的威胁团体的广泛攻击活动。在1月31日的一篇博客文章中，Mandiant将UNC5221分类为一个疑似与中国相关的间谍威胁行为者。

在其补充指令中