CISA系统遭黑客攻击，Ivanti产品漏洞被利用

关键要点

美国网络安全和基础设施安全局CISA上个月的系统遭到黑客攻击，黑客利用Ivanti产品的漏洞。Ivanti的设备受到多个威胁组织的持续攻击，其中包括与中国相关的间谍黑客团伙。自1月以来，Ivanti发布了针对其Connect Secure、Policy Secure和Neurons for Zero Trust Access产品的五个高危和严重漏洞的补丁。CISA确认受到攻击的两个系统为基础设施保护网关和化学安全评估工具，并已经被下线处理。

上个月，美国网络安全和基础设施安全局CISA的系统遭到黑客攻击，黑客利用Ivanti产品中的漏洞进行渗透。Ivanti设备在今年遭受多个威胁组织的持续攻击，其中至少一个与中国有关的间谍团伙也参与了针对这些漏洞的攻击。

从1月份开始，Ivanti已针对其Connect Secure、Policy Secure和Neurons for Zero Trust Access产品发布了五个高危和关键漏洞的补丁。就在CISA确认其系统遭到攻击的前一天，Check Point研究人员发现了一个新威胁组织名为Magnet Goblin该团伙正利用漏洞攻击Connect Secure设备。

CISA下线受影响的系统

CISA发言人表示：“大约一个月前，CISA发现了表明已经利用Ivanti产品漏洞的活动。”“此次影响仅限于两个系统，我们立即将其下线。我们继续升级和现代化系统，目前没有运营影响。”

此次泄露最早由网络安全公司Recorded Future旗下的新闻网站The Record报道。根据知情人士的消息，CISA遭受攻击的系统是基础设施保护网关IP Gateway和化学安全评估工具CSAT。

官方于2020年将IP Gateway重新命名为CISA Gateway，这是一个用于收集、分析和传播有关关键基础设施的政府信息的门户。类似地，CSAT也是一个提供化学设施信息的门户网站。

CISA未确认这两个门户是否为因漏洞泄露而下线的系统。CISA的发言人表示：“这提醒我们，任何组织都可能受到网络漏洞的影响，因此建立事件响应计划是增强韧性的必要组成部分。”

CISA建议各组织查看其与多个合作机构在2月29日发布的关于Ivanti漏洞的建议。

该建议引发了担忧，认为组织可能不会检测到泄露，因为威胁行为者能够欺骗Ivanti的内部和外部完整性检查工具ICT。

蘑菇加速器

因此，CISA及其合作机构强烈建议所有组织在决定是否继续在企业环境中运行这些设备时，考虑到对Ivanti Connect Secure和Ivanti Policy Secure网关的对手访问及持久性所带来的重大风险。

Magnet Goblin成为最新的攻击Ivanti漏洞的团伙

与此同时，Check Point研究人员表示，他们在追踪“最近的Ivanti利用波动”中发现了一个名为Magnet Goblin的威胁行为者，该团伙以经济利益为驱动，擅长利用已披露但尚未修补的1日漏洞。

研究人员称：“Magnet Goblin以迅速采用新披露的漏洞而自我标榜，特别针对Ivanti Connect Secure VPN、Magento、Qlik Sense和可能的Apache ActiveMQ等平台。”

“该团伙快速采取行动将漏洞利用纳入其武器库有时在概念验证发布后的仅一天内，这对全球数字基础设施构成了深远的威胁。”

Check Point表示，Magnet Goblin使用的恶意软件套件“多样性与危险性兼具”。该团伙的“复杂”工具包包括跨平台远程访问木马NerbianRAT、开源隧道工具Ligolo和JavaScript凭证窃取者WARPWIRE。

研究人员警告称：“这种多样化的恶意软件套件使得网络攻击范围广