美國網路安全機構CISA 已下令聯邦機構緊急切斷Ivanti VPN 設備的連接，因為該設備存在多個軟體缺陷，存在被惡意利用的風險。在對上週首次發布的緊急指令的更新中，CISA 現在要求所有聯邦文職行政部門機構（名單中包括國土安全部和證券交易委員會）斷開所有Ivanti VPN 設備的連接，因為惡意駭客目前正在利用眾多零日漏洞造成”嚴重威脅”。

儘管聯邦機構通常有數週的時間來修補漏洞，但CISA 已下令在48 小時內切斷Ivanti VPN 設備的連線。

“經營受影響產品（Ivanti Connect Secure 或Ivanti Policy Secure 解決方案）的機構必須立即執行以下任務：在2024 年2 月2 日星期五11:59PM 之前，盡快從機構網路中斷開所有Ivanti Connect Secure 和Ivanti Policy Secure 解決方案產品實例的連接，」週三更新的緊急指令中寫道。

就在CISA 發出警告的幾個小時前，Ivanti 聲稱發現了第三個正在被積極利用的零日漏洞。

安全研究人員稱，自12月以來，中國國家支持的駭客已經利用了至少兩個Ivanti Connect Secure漏洞–被追蹤為CVE-2023-46805和CVE-2024-21887。 Ivanti 週三表示，它又發現了兩個漏洞–CVE-2024-21888 和CVE-2024-21893，後者已被用於”有針對性的”攻擊。 CISA 先前表示，”觀察到一些針對聯邦機構的初步攻擊”。

網路安全公司Volexity 的創始人Steven Adair 週四介紹說，到目前為止，至少有2200 台Ivanti 設備被入侵。這比該公司本月稍早追蹤到的1700 台增加了500 台，不過Volexity 指出”總數可能要高得多”。

在緊急指令的更新中，CISA 告知各機構，在斷開易受攻擊的Ivanti 產品的連接後，各機構必須繼續對連接到受影響設備的任何系統進行威脅狩獵，監控可能暴露的身份驗證或身份管理服務，並繼續審計權限層級存取帳戶。

CISA 也提供了恢復Ivanti 設備線上運作的說明，但沒有給聯邦機構規定恢復Ivanti 設備線上運作的最後期限。

“CISA已經有效地指導聯邦機構採用一種方法來部署被認為是全新安裝並打了補丁的[Ivanti Connect Secure] VPN設備，作為使其重新上線的要求，”Adari說，”如果任何機構希望完全確保其設備在已知良好和可信的狀態下運行，這可能是最好的行動方案。”

在CISA 發出警告稱惡意攻擊者繞過了針對前兩個漏洞發布的緩解措施之後，Ivanti 本週為受這三個被積極利用的漏洞影響的部分軟體版本提供了修補程式。 Ivanti 還敦促客戶在打補丁之前對設備進行出廠重置，以防止駭客在其網路上獲得持久存取權。