CISA 采取了史无前例的举措，要求联邦机构在 48 小时内断开 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的所有运行。

美国政府网络安全机构 CISA 采取前所未有的举措，要求联邦机构在 48 小时内断开 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的所有实例。

该机构在一份新的紧急指令中表示：“尽快且不晚于 2024 年 2 月 2 日星期五晚上 11:59，断开所有 Ivanti Connect Secure 和 Ivanti Policy Secure 解决方案产品实例与机构网络的连接”，该指令加大了压力帮助防御者缓解至少三个在野外被积极利用的 Ivanti 安全缺陷。

CISA 正在推动联邦民事行政部门 (FCEB) 机构“继续对连接到或最近连接到受影响的 Ivanti 设备的任何系统进行威胁搜寻”，并监控可能暴露的身份验证或身份管理服务。

该机构表示，联邦网络管理员还必须在 48 小时内最大程度地将系统与任何企业资源隔离，并继续审核特权级别访问帐户。

“为了使产品重新投入使用，CISA 表示，各机构需要导出设备配置设置，按照 Ivanti 的说明完成出厂重置，并重建设备并升级到完全修补的软件版本。

在努力满足自己的补丁交付时间表后，Ivanti 于周三开始按交错时间表推出修复程序，并披露了面向企业的 VPN 设备中的两个新安全缺陷。

Ivanti 记录了四个独立的漏洞问题：

• CVE-2023-46805 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 Web 组件中存在身份验证绕过漏洞，允许远程攻击者绕过控制检查来访问受限资源。CVSS 严重性评分 8.2/10。已确认被利用为零日漏洞。
• CVE-2024-21887 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure Web 组件中的命令注入漏洞允许经过身份验证的管理员发送特制请求并在设备上执行任意命令。该漏洞可通过互联网被利用。CVSS 9.1/10。已确认被利用。
• CVE-2024-21888 — Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure（9.x、22.x）的 Web 组件中存在权限提升漏洞，允许用户将权限提升至行政人员。CVSS 8.8/10。
• CVE-2024-21893 — Ivanti Connect Secure（9.x、22.x）、Ivanti Policy Secure（9.x、22.x）和 Ivanti Neurons for ZTA 的 SAML 组件中存在服务器端请求伪造漏洞，允许攻击者无需身份验证即可访问某些受限资源。CVSS 严重性评分 8.2/10。已确认有针对性的利用。

三周前，Volexity 首次发现了对这些问题的利用。  消息人士称，网络犯罪组织已利用公开的漏洞部署加密器和后门。