越来越多的黑客团体在攻击中使用 CVE-2023-46805 和 CVE-2024-21887。

本月早些时候， 我们报道了Ivanti产品 中的零日漏洞。Mandiant最近的一项分析发现， 攻击者在攻击中使用了 5 种不同的恶意软件系列 ，包括 Zipline、Thinspool Dropper、Wirefire、Lightwire 和 Warpwire Harverster。

根据 Volexity 专家的最新数据，今年 1 月 14 日，GIFFEDVISITOR Web shell 检测到了超过 1,700 个受损的 Connect Secure VPN设备。

受害者名单包括世界各地的公共和私人组织，包括军事机构、国家电信公司、国防承包商、技术公司、银行、金融和会计组织、全球咨询公司以及航空航天和工程行业的公司。

Shadowserver 的 威胁监控服务监控全球超过 16,800 个可通过互联网访问的 Connect Secure VPN 设备。其中大多数（约 5,000 人）在美国，但威胁绝对是全球性的。

已确认攻击者可以在所有受支持版本的 VPN Connect Secure 和 Policy Secure 设备上执行任意命令，成功组合了之前发现的两个漏洞 CVE-2023-46805 和 CVE-2024-21887 。

Ivanti 仍未发布必要的修复程序，显然问题比之前看起来的更为严重。 强烈建议管理员对网络上的所有 VPN 设备 应用公司提供的缓解措施 ，并使用Ivanti 完整性检查器工具 来识别受损迹象。

去年 7 月，另外两个 Ivanti 零日漏洞（ CVE-2023-35078 和 CVE-2023-35081 ） 被用来 危害多个挪威政府组织，一个月后， 黑客开始利用 第三个漏洞（ CVE-2023-38035 ）在软件Ivanti Sentry中绕过API身份验证。